ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ...

95
ﺔﺔﺔﺔﺔ ﺔﺔﺔ ﺔﺔﺔﺔﺔﺔﺔﺔﺔ ﺔﺔﺔﺔﺔﺔﺔﺔﺔ ﺔﺔﺔﺔﺔﺔﺔﺔﺔﺔRisks of Integrated Accounting Information System 03/30/2022 1

Upload: rabah-odeh-itil-50-ocp-cisa-pmp-ocpetc

Post on 18-Jan-2017

1.084 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 1

مخاط13ر نظ13م المعلومات13 المحاس13بية اإللكترونية

Risks of Integrated Accounting Information System

05012023 2

مقدمةعبارة (Risk( بالمخاطرة هو تعريف وحسب

بين ربط حدث احتمالعن وقوعحدوثه على المترتبة واآلثار

ndash تركز التقليدية المخاطر إدارة إنأسباب عن الناتجة المخاطر على

مثال ) قانونية أو ماديةالطبيعية الكوارث أو الحرائق

والدعاوى الموت الحوادثفإن( أخرى جهة ومن القضائية

13على تركز المالية المخاطر إدارةإدارتها يمكن التي المخاطر تلك

المالية المقايضة أدوات باس13تخدام المخاطر إدارة نوع عن النظر بغضوكذلك الكبرى الش13ركات جميع فإن

الص13غرى والشركات المجموعاتالمخاطر بإدارة مختص فريق لديها

bull 13ر 13131313131313المخاط إدارة و إدارة أ المخاطرة و 13ر أ13131313الخط إدارة (

باإلنجليزيةbull Risk Management) قياس عملية هي

إستراتيجيات للمخاطروتقييم وتطويرتراتيجيات اإلس هذه نتتضم إلدارتهاوتجنبها أخرى جهة إلى المخاطر نقلأو بعض وقبول السلبية آثارها وتقليل ا بأنه اتعريفه نيمك اكم تبعاتها لكى إل يهدف الذي اإلداري النشاطى إل اوتخفيضه ربالمخاط مالتحك ي ه أدق لوبشك مقبولة توياتمسيطرة والس وقياس دتحدي ةعمليالشركة تواجه التي المخاطر وتخفيض

المؤسسة أو

05012023 3

تعتبر نظم المعلومات المحاسبية اإللكترونية من النظم التي تواجه العديد من المخاطر التي قد

تؤثر على تحقيق أهداف تلك النظم وذلك نظرا العتمادها على الحاسوب حيث تزامن التطور

الكبير للحاسبات وأنظمة المعلومات مع التطور في تكنولوجيا المعلومات وسرعة انتشار هذه

المعلومات واستخدامها إلكترونيا ولقد صاحب هذا التطور في استخدام المعلومات اإللكترونية

العديد من المخاطر والمشاكل التي تؤثر على أمن المعلومات سواء كانت تلك المخاطر مقصودة أو غير مقصودة

ولذلك تزايد االهتمام الكبير بتوفير الوسائل واألساليب الالزمة لحماية نظم المعلومات والرقابة

على عملياتها وضمان استمرارية عمل تلك النظم بشكل صحيح وبالطريقة المطلوبة التي

صممت من أجلها

Definition of Risk Management

Risk management is a process for identifying assessing and prioritizing risks of different kinds Once the risks are identified the risk manager will create a plan to minimize or eliminate the impact of negative events A variety of strategies is available depending on the type of risk and the type of business There are a number of risk management standards including those developed by the Project Management Institute the International Organization for Standardization (ISO) the National Institute of Science and Technology and actuarial societies

05012023 4

05012023 5

What is Risk

bull Risks are potential problems that may affect successful completion of a software project

bull Risks involve uncertainty and potential losses

bull Risk analysis and management are intended to help a software team understand and manage uncertainty during the development process

05012023 6

05012023 7

اليب ر بعدة أس13د يعرف الخط131313ا جميعا ق1313إال أنهموق13ف أ13و حادث13ة أ13و هو أجمع13ت عل13ى أ13ن الخط13ر

13يرة 1313و مس1313ل أ1313ياق العم1313ي س1313ة ف1313ة متوقع13مشكلالمشروع ق13د تؤدي إل13ى خس13ائر مادي13ة أ13و معنوي13ة ف المشروع ي بتوقن تنتهت أا تفاقما إذا من لهويمك

إ13ن الخط13ر األك13بر عل13ى األعمال يتلخ13ص وإنهياره 13ا باألخطار 131313ن يكون لدى اإلدارة توقعاته131313ي أ1313فالمحتمل13ة ولديه13ا التحلي13ل الواض13ح له13ا والتص13نيف ك س13اكنا ف13ي إتخاذ م13ا يلزم الالزم إال أنه13ا ال تحرم13ن إجراءات وخط13ط وإس13تراتيجيات لمعالج13ة هذه

األخطار قبل وقوعها للحد من آثارها

ndash عملية تتبع المثالية المخاطر إدارة حالة في األولويات ذات إعطاء المخاطر أن بحيث

عالية حدوث واحتمالية الكبيرة الخسائرالخسائر ذات المخاطر بينما أوال تعالج

فيما تعالج أقل حدوث واحتمالية األقل بعد جدا صعبة العملية هذه تكون قد عمليا

ذات المخاطر بين ما الموازنة أن كمامقابل القليلة والخسائر العالية االحتماليةوالخسائر القليلة االحتمالية ذات المخاطر

توليها يتم قد سيء العالية بشكل

Seven Principles of Risk Management

bull Maintain a global perspectivendash View software risks within the context of a system and the business

problem that is is intended to solvebull Take a forward-looking view

ndash Think about risks that may arise in the future establish contingency plansbull Encourage open communication

ndash Encourage all stakeholders and users to point out risks at any timebull Integrate risk management

ndash Integrate the consideration of risk into the software processbull Emphasize a continuous process of risk management

ndash Modify identified risks as more becomes known and add new risks as better insight is achieved

bull Develop a shared product visionndash A shared vision by all stakeholders facilitates better risk identification and

assessmentbull Encourage teamwork when managing risk

ndash Pool the skills and experience of all stakeholders when conducting risk management activities

05012023 10

ήρΎΨϤϟΓέΩ

ΓέΩ ϑ centήόΗϭ ήˬρΎΨϤϠϟΔμμΨΘϣΓέΩ ΩϮΟϮϟΔϴϤϫϷϯ Ϊ ϣϖΑΎδ ϟν ήόϟϦϣπ Θϳϰ ϟ ΎϬπ ϴϔΨΗϭήρΎΨϤϟΎΑϢ Auml˰ϜΤΘϟϰ ϟ ϑ Ϊ Ϭϳ ϱ άϟϱ έΩϹρΎθ ϨϟΎϬϧΑήρΎΨϤϟϪ AumlΟϮΘϟϯ Ϊ ϣϦϳήϴΧϷϦϳΪ Ϙόϟϲ ϓ˱ΎΤοϭϡΎϤΘϫϹήϬυ Ϊ ϗϭ ΔˬϟϮΒϘϣΕ ΎϳϮΘδ ϣ

ϩάϫϢΠΣΪ ϤΘόϳϭˬ ΔϴϟΎϤϟ Ε θ ϨϤϟϲ ϓΔλ ΎΧϭήρΎΨϤϠϟΔμμΨΘϣΕ έΩΎθ ϧϹ˯ϩάϫΕ ΎϴϟϭΆδ ϣϥ ϻˬ ΎϬρΎθ ϧωϮϧϭΔδ γ ΆϤϟ ϢΠΣϰ ϠϋΎϫέϭΩΪ ϳΪ ΤΗϭΕ έΩϹ

ϲ Ϡϳ ΎϤϴϓϡΎϋ Ϟ˳Ϝθ Ακ ΨϠΘΗΕ έΩϹ

1 ΎϬϠϴϠΤΗϭΎϬϔϳήόΗϭήρΎΨϤϟ ωϮϧΪ ϳΪ ΤΘϟΔϣίϼϟ β γ Ϸϊ οϭ2 ΔΤοϭΔϴϟϦϤοΎϬϘϴΛϮΗϭϑ Ϊ ϫϷΪ ϳΪ ΤΗϭΕ ΎϴΠϴΗ ήΘγ Ϲϊ οϭ 3 ΔόϗϮΘϤϟΎϫέΎΛΐ δ ΣΎϬϔϴϨμΗϭήρΎΨϤϠϟΕ ΎϧΎϴΑΓΪ ϋΎϗϊ οϭ 4 Ϛ ϟάΑΔλ ΎΨϟΕ ήΟϹϭήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϠϟΔϣίϼϟςτΨϟϊ οϭ 5 ΎϫέΎΛϦϣΪ ΤϠϟήρΎΨϤϟϰ Ϡϋ ΔΒΗήΘϤϟϞϛΎθ ϤϟέΎΛϵ ΔόΑΎΘ˵ϤϟέήϤΘγ 6 ΎϬϨϣΪ ΤϟϭΎϫέΎΛξ ϴϔΨΘϟΎϬϴϠϋΓήτϴδ ϟ ϭήρΎΨϤϟα ΎϴϗϭΪ ϳΪ ΤΗ

What is the Risk Management process

The Risk Management Process consists of a series of steps that when undertaken in sequence enable continual improvement in decision-makingThe Importance of Risk Management to Business Success

Risk management is an important part of planning for businesses The process of risk management is designed to reduce or eliminate the risk of certain kinds of events happening or having an impact on the business

05012023 11

Steps of the Risk Management Process

Step 1 Communicate and consultStep 2 Establish the contextStep 3 Identify the risksStep 4 Analyze the risksStep 5 Evaluate the risksStep 6 Treat the risksStep 7 Monitor and review

05012023 12

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 13

Summary of risk management steps

05012023 14

1505012023

1605012023

1705012023

1805012023

20

المالية Financial Risksالمخاطر السيولة ومخاطر السوق ومخاطر اإلئتمان مخاطر على وتشتمل

اإلئتمان Credit Riskمخاطرالمقترض قدرة عدم عن الناجمة المحتملة الخسائر هي اإلئتمانية المخاطرسياسية عامة ظروف بسبب المحددة المواعيد في بإلتزاماته الوفاء على

بمخاطر مصرفيا عنها ويعبر نفسه بالمقترض خاصة ظروف أو اقتصادية أو)2004حشاد ( Default Riskالتعثر

يتحمل اإلئتمان مخاطر عن الناجمة الخسائر تخفيض أجل ومن عام بشكلإستراتيجية وإعتماد وضع في المسؤولية العليا واإلدارة البنك إدارة مجلسوالبيئة العملي الواقع مع تتالءم عمل وإجراءات وسياسات التسهيالت منح

المؤهل الكادر وتعيين بإستمرار وتحديثها مراجعتها يتم وأن المصرفية والمراقبة والمتابعة المنح عمليات بتنفيذ القيام على القادر

السوق Market Riskمخاطرالبنك إيرادات على تؤثر أن يمكن التي المستقبلية أو الحالية المخاطر هي

وأسعار الصرف وأسعار الفائدة أسعار في التقلبات عن والناجمة ورأسماله متطلبات الى إضافته تم المخاطر من النوع وهذا والسلع المالية األوراق

العام في المال رأس كفاية اإلحتفاظ 1996معيار البنوك على يتوجب بحيثبأنواعها السوق مخاطر لمواجهة ألقسام برأسمال توضيح يلي وفيما

( السوق (BCBS1996مخاطر

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 2: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 2

مقدمةعبارة (Risk( بالمخاطرة هو تعريف وحسب

بين ربط حدث احتمالعن وقوعحدوثه على المترتبة واآلثار

ndash تركز التقليدية المخاطر إدارة إنأسباب عن الناتجة المخاطر على

مثال ) قانونية أو ماديةالطبيعية الكوارث أو الحرائق

والدعاوى الموت الحوادثفإن( أخرى جهة ومن القضائية

13على تركز المالية المخاطر إدارةإدارتها يمكن التي المخاطر تلك

المالية المقايضة أدوات باس13تخدام المخاطر إدارة نوع عن النظر بغضوكذلك الكبرى الش13ركات جميع فإن

الص13غرى والشركات المجموعاتالمخاطر بإدارة مختص فريق لديها

bull 13ر 13131313131313المخاط إدارة و إدارة أ المخاطرة و 13ر أ13131313الخط إدارة (

باإلنجليزيةbull Risk Management) قياس عملية هي

إستراتيجيات للمخاطروتقييم وتطويرتراتيجيات اإلس هذه نتتضم إلدارتهاوتجنبها أخرى جهة إلى المخاطر نقلأو بعض وقبول السلبية آثارها وتقليل ا بأنه اتعريفه نيمك اكم تبعاتها لكى إل يهدف الذي اإلداري النشاطى إل اوتخفيضه ربالمخاط مالتحك ي ه أدق لوبشك مقبولة توياتمسيطرة والس وقياس دتحدي ةعمليالشركة تواجه التي المخاطر وتخفيض

المؤسسة أو

05012023 3

تعتبر نظم المعلومات المحاسبية اإللكترونية من النظم التي تواجه العديد من المخاطر التي قد

تؤثر على تحقيق أهداف تلك النظم وذلك نظرا العتمادها على الحاسوب حيث تزامن التطور

الكبير للحاسبات وأنظمة المعلومات مع التطور في تكنولوجيا المعلومات وسرعة انتشار هذه

المعلومات واستخدامها إلكترونيا ولقد صاحب هذا التطور في استخدام المعلومات اإللكترونية

العديد من المخاطر والمشاكل التي تؤثر على أمن المعلومات سواء كانت تلك المخاطر مقصودة أو غير مقصودة

ولذلك تزايد االهتمام الكبير بتوفير الوسائل واألساليب الالزمة لحماية نظم المعلومات والرقابة

على عملياتها وضمان استمرارية عمل تلك النظم بشكل صحيح وبالطريقة المطلوبة التي

صممت من أجلها

Definition of Risk Management

Risk management is a process for identifying assessing and prioritizing risks of different kinds Once the risks are identified the risk manager will create a plan to minimize or eliminate the impact of negative events A variety of strategies is available depending on the type of risk and the type of business There are a number of risk management standards including those developed by the Project Management Institute the International Organization for Standardization (ISO) the National Institute of Science and Technology and actuarial societies

05012023 4

05012023 5

What is Risk

bull Risks are potential problems that may affect successful completion of a software project

bull Risks involve uncertainty and potential losses

bull Risk analysis and management are intended to help a software team understand and manage uncertainty during the development process

05012023 6

05012023 7

اليب ر بعدة أس13د يعرف الخط131313ا جميعا ق1313إال أنهموق13ف أ13و حادث13ة أ13و هو أجمع13ت عل13ى أ13ن الخط13ر

13يرة 1313و مس1313ل أ1313ياق العم1313ي س1313ة ف1313ة متوقع13مشكلالمشروع ق13د تؤدي إل13ى خس13ائر مادي13ة أ13و معنوي13ة ف المشروع ي بتوقن تنتهت أا تفاقما إذا من لهويمك

إ13ن الخط13ر األك13بر عل13ى األعمال يتلخ13ص وإنهياره 13ا باألخطار 131313ن يكون لدى اإلدارة توقعاته131313ي أ1313فالمحتمل13ة ولديه13ا التحلي13ل الواض13ح له13ا والتص13نيف ك س13اكنا ف13ي إتخاذ م13ا يلزم الالزم إال أنه13ا ال تحرم13ن إجراءات وخط13ط وإس13تراتيجيات لمعالج13ة هذه

األخطار قبل وقوعها للحد من آثارها

ndash عملية تتبع المثالية المخاطر إدارة حالة في األولويات ذات إعطاء المخاطر أن بحيث

عالية حدوث واحتمالية الكبيرة الخسائرالخسائر ذات المخاطر بينما أوال تعالج

فيما تعالج أقل حدوث واحتمالية األقل بعد جدا صعبة العملية هذه تكون قد عمليا

ذات المخاطر بين ما الموازنة أن كمامقابل القليلة والخسائر العالية االحتماليةوالخسائر القليلة االحتمالية ذات المخاطر

توليها يتم قد سيء العالية بشكل

Seven Principles of Risk Management

bull Maintain a global perspectivendash View software risks within the context of a system and the business

problem that is is intended to solvebull Take a forward-looking view

ndash Think about risks that may arise in the future establish contingency plansbull Encourage open communication

ndash Encourage all stakeholders and users to point out risks at any timebull Integrate risk management

ndash Integrate the consideration of risk into the software processbull Emphasize a continuous process of risk management

ndash Modify identified risks as more becomes known and add new risks as better insight is achieved

bull Develop a shared product visionndash A shared vision by all stakeholders facilitates better risk identification and

assessmentbull Encourage teamwork when managing risk

ndash Pool the skills and experience of all stakeholders when conducting risk management activities

05012023 10

ήρΎΨϤϟΓέΩ

ΓέΩ ϑ centήόΗϭ ήˬρΎΨϤϠϟΔμμΨΘϣΓέΩ ΩϮΟϮϟΔϴϤϫϷϯ Ϊ ϣϖΑΎδ ϟν ήόϟϦϣπ Θϳϰ ϟ ΎϬπ ϴϔΨΗϭήρΎΨϤϟΎΑϢ Auml˰ϜΤΘϟϰ ϟ ϑ Ϊ Ϭϳ ϱ άϟϱ έΩϹρΎθ ϨϟΎϬϧΑήρΎΨϤϟϪ AumlΟϮΘϟϯ Ϊ ϣϦϳήϴΧϷϦϳΪ Ϙόϟϲ ϓ˱ΎΤοϭϡΎϤΘϫϹήϬυ Ϊ ϗϭ ΔˬϟϮΒϘϣΕ ΎϳϮΘδ ϣ

ϩάϫϢΠΣΪ ϤΘόϳϭˬ ΔϴϟΎϤϟ Ε θ ϨϤϟϲ ϓΔλ ΎΧϭήρΎΨϤϠϟΔμμΨΘϣΕ έΩΎθ ϧϹ˯ϩάϫΕ ΎϴϟϭΆδ ϣϥ ϻˬ ΎϬρΎθ ϧωϮϧϭΔδ γ ΆϤϟ ϢΠΣϰ ϠϋΎϫέϭΩΪ ϳΪ ΤΗϭΕ έΩϹ

ϲ Ϡϳ ΎϤϴϓϡΎϋ Ϟ˳Ϝθ Ακ ΨϠΘΗΕ έΩϹ

1 ΎϬϠϴϠΤΗϭΎϬϔϳήόΗϭήρΎΨϤϟ ωϮϧΪ ϳΪ ΤΘϟΔϣίϼϟ β γ Ϸϊ οϭ2 ΔΤοϭΔϴϟϦϤοΎϬϘϴΛϮΗϭϑ Ϊ ϫϷΪ ϳΪ ΤΗϭΕ ΎϴΠϴΗ ήΘγ Ϲϊ οϭ 3 ΔόϗϮΘϤϟΎϫέΎΛΐ δ ΣΎϬϔϴϨμΗϭήρΎΨϤϠϟΕ ΎϧΎϴΑΓΪ ϋΎϗϊ οϭ 4 Ϛ ϟάΑΔλ ΎΨϟΕ ήΟϹϭήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϠϟΔϣίϼϟςτΨϟϊ οϭ 5 ΎϫέΎΛϦϣΪ ΤϠϟήρΎΨϤϟϰ Ϡϋ ΔΒΗήΘϤϟϞϛΎθ ϤϟέΎΛϵ ΔόΑΎΘ˵ϤϟέήϤΘγ 6 ΎϬϨϣΪ ΤϟϭΎϫέΎΛξ ϴϔΨΘϟΎϬϴϠϋΓήτϴδ ϟ ϭήρΎΨϤϟα ΎϴϗϭΪ ϳΪ ΤΗ

What is the Risk Management process

The Risk Management Process consists of a series of steps that when undertaken in sequence enable continual improvement in decision-makingThe Importance of Risk Management to Business Success

Risk management is an important part of planning for businesses The process of risk management is designed to reduce or eliminate the risk of certain kinds of events happening or having an impact on the business

05012023 11

Steps of the Risk Management Process

Step 1 Communicate and consultStep 2 Establish the contextStep 3 Identify the risksStep 4 Analyze the risksStep 5 Evaluate the risksStep 6 Treat the risksStep 7 Monitor and review

05012023 12

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 13

Summary of risk management steps

05012023 14

1505012023

1605012023

1705012023

1805012023

20

المالية Financial Risksالمخاطر السيولة ومخاطر السوق ومخاطر اإلئتمان مخاطر على وتشتمل

اإلئتمان Credit Riskمخاطرالمقترض قدرة عدم عن الناجمة المحتملة الخسائر هي اإلئتمانية المخاطرسياسية عامة ظروف بسبب المحددة المواعيد في بإلتزاماته الوفاء على

بمخاطر مصرفيا عنها ويعبر نفسه بالمقترض خاصة ظروف أو اقتصادية أو)2004حشاد ( Default Riskالتعثر

يتحمل اإلئتمان مخاطر عن الناجمة الخسائر تخفيض أجل ومن عام بشكلإستراتيجية وإعتماد وضع في المسؤولية العليا واإلدارة البنك إدارة مجلسوالبيئة العملي الواقع مع تتالءم عمل وإجراءات وسياسات التسهيالت منح

المؤهل الكادر وتعيين بإستمرار وتحديثها مراجعتها يتم وأن المصرفية والمراقبة والمتابعة المنح عمليات بتنفيذ القيام على القادر

السوق Market Riskمخاطرالبنك إيرادات على تؤثر أن يمكن التي المستقبلية أو الحالية المخاطر هي

وأسعار الصرف وأسعار الفائدة أسعار في التقلبات عن والناجمة ورأسماله متطلبات الى إضافته تم المخاطر من النوع وهذا والسلع المالية األوراق

العام في المال رأس كفاية اإلحتفاظ 1996معيار البنوك على يتوجب بحيثبأنواعها السوق مخاطر لمواجهة ألقسام برأسمال توضيح يلي وفيما

( السوق (BCBS1996مخاطر

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 3: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 3

تعتبر نظم المعلومات المحاسبية اإللكترونية من النظم التي تواجه العديد من المخاطر التي قد

تؤثر على تحقيق أهداف تلك النظم وذلك نظرا العتمادها على الحاسوب حيث تزامن التطور

الكبير للحاسبات وأنظمة المعلومات مع التطور في تكنولوجيا المعلومات وسرعة انتشار هذه

المعلومات واستخدامها إلكترونيا ولقد صاحب هذا التطور في استخدام المعلومات اإللكترونية

العديد من المخاطر والمشاكل التي تؤثر على أمن المعلومات سواء كانت تلك المخاطر مقصودة أو غير مقصودة

ولذلك تزايد االهتمام الكبير بتوفير الوسائل واألساليب الالزمة لحماية نظم المعلومات والرقابة

على عملياتها وضمان استمرارية عمل تلك النظم بشكل صحيح وبالطريقة المطلوبة التي

صممت من أجلها

Definition of Risk Management

Risk management is a process for identifying assessing and prioritizing risks of different kinds Once the risks are identified the risk manager will create a plan to minimize or eliminate the impact of negative events A variety of strategies is available depending on the type of risk and the type of business There are a number of risk management standards including those developed by the Project Management Institute the International Organization for Standardization (ISO) the National Institute of Science and Technology and actuarial societies

05012023 4

05012023 5

What is Risk

bull Risks are potential problems that may affect successful completion of a software project

bull Risks involve uncertainty and potential losses

bull Risk analysis and management are intended to help a software team understand and manage uncertainty during the development process

05012023 6

05012023 7

اليب ر بعدة أس13د يعرف الخط131313ا جميعا ق1313إال أنهموق13ف أ13و حادث13ة أ13و هو أجمع13ت عل13ى أ13ن الخط13ر

13يرة 1313و مس1313ل أ1313ياق العم1313ي س1313ة ف1313ة متوقع13مشكلالمشروع ق13د تؤدي إل13ى خس13ائر مادي13ة أ13و معنوي13ة ف المشروع ي بتوقن تنتهت أا تفاقما إذا من لهويمك

إ13ن الخط13ر األك13بر عل13ى األعمال يتلخ13ص وإنهياره 13ا باألخطار 131313ن يكون لدى اإلدارة توقعاته131313ي أ1313فالمحتمل13ة ولديه13ا التحلي13ل الواض13ح له13ا والتص13نيف ك س13اكنا ف13ي إتخاذ م13ا يلزم الالزم إال أنه13ا ال تحرم13ن إجراءات وخط13ط وإس13تراتيجيات لمعالج13ة هذه

األخطار قبل وقوعها للحد من آثارها

ndash عملية تتبع المثالية المخاطر إدارة حالة في األولويات ذات إعطاء المخاطر أن بحيث

عالية حدوث واحتمالية الكبيرة الخسائرالخسائر ذات المخاطر بينما أوال تعالج

فيما تعالج أقل حدوث واحتمالية األقل بعد جدا صعبة العملية هذه تكون قد عمليا

ذات المخاطر بين ما الموازنة أن كمامقابل القليلة والخسائر العالية االحتماليةوالخسائر القليلة االحتمالية ذات المخاطر

توليها يتم قد سيء العالية بشكل

Seven Principles of Risk Management

bull Maintain a global perspectivendash View software risks within the context of a system and the business

problem that is is intended to solvebull Take a forward-looking view

ndash Think about risks that may arise in the future establish contingency plansbull Encourage open communication

ndash Encourage all stakeholders and users to point out risks at any timebull Integrate risk management

ndash Integrate the consideration of risk into the software processbull Emphasize a continuous process of risk management

ndash Modify identified risks as more becomes known and add new risks as better insight is achieved

bull Develop a shared product visionndash A shared vision by all stakeholders facilitates better risk identification and

assessmentbull Encourage teamwork when managing risk

ndash Pool the skills and experience of all stakeholders when conducting risk management activities

05012023 10

ήρΎΨϤϟΓέΩ

ΓέΩ ϑ centήόΗϭ ήˬρΎΨϤϠϟΔμμΨΘϣΓέΩ ΩϮΟϮϟΔϴϤϫϷϯ Ϊ ϣϖΑΎδ ϟν ήόϟϦϣπ Θϳϰ ϟ ΎϬπ ϴϔΨΗϭήρΎΨϤϟΎΑϢ Auml˰ϜΤΘϟϰ ϟ ϑ Ϊ Ϭϳ ϱ άϟϱ έΩϹρΎθ ϨϟΎϬϧΑήρΎΨϤϟϪ AumlΟϮΘϟϯ Ϊ ϣϦϳήϴΧϷϦϳΪ Ϙόϟϲ ϓ˱ΎΤοϭϡΎϤΘϫϹήϬυ Ϊ ϗϭ ΔˬϟϮΒϘϣΕ ΎϳϮΘδ ϣ

ϩάϫϢΠΣΪ ϤΘόϳϭˬ ΔϴϟΎϤϟ Ε θ ϨϤϟϲ ϓΔλ ΎΧϭήρΎΨϤϠϟΔμμΨΘϣΕ έΩΎθ ϧϹ˯ϩάϫΕ ΎϴϟϭΆδ ϣϥ ϻˬ ΎϬρΎθ ϧωϮϧϭΔδ γ ΆϤϟ ϢΠΣϰ ϠϋΎϫέϭΩΪ ϳΪ ΤΗϭΕ έΩϹ

ϲ Ϡϳ ΎϤϴϓϡΎϋ Ϟ˳Ϝθ Ακ ΨϠΘΗΕ έΩϹ

1 ΎϬϠϴϠΤΗϭΎϬϔϳήόΗϭήρΎΨϤϟ ωϮϧΪ ϳΪ ΤΘϟΔϣίϼϟ β γ Ϸϊ οϭ2 ΔΤοϭΔϴϟϦϤοΎϬϘϴΛϮΗϭϑ Ϊ ϫϷΪ ϳΪ ΤΗϭΕ ΎϴΠϴΗ ήΘγ Ϲϊ οϭ 3 ΔόϗϮΘϤϟΎϫέΎΛΐ δ ΣΎϬϔϴϨμΗϭήρΎΨϤϠϟΕ ΎϧΎϴΑΓΪ ϋΎϗϊ οϭ 4 Ϛ ϟάΑΔλ ΎΨϟΕ ήΟϹϭήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϠϟΔϣίϼϟςτΨϟϊ οϭ 5 ΎϫέΎΛϦϣΪ ΤϠϟήρΎΨϤϟϰ Ϡϋ ΔΒΗήΘϤϟϞϛΎθ ϤϟέΎΛϵ ΔόΑΎΘ˵ϤϟέήϤΘγ 6 ΎϬϨϣΪ ΤϟϭΎϫέΎΛξ ϴϔΨΘϟΎϬϴϠϋΓήτϴδ ϟ ϭήρΎΨϤϟα ΎϴϗϭΪ ϳΪ ΤΗ

What is the Risk Management process

The Risk Management Process consists of a series of steps that when undertaken in sequence enable continual improvement in decision-makingThe Importance of Risk Management to Business Success

Risk management is an important part of planning for businesses The process of risk management is designed to reduce or eliminate the risk of certain kinds of events happening or having an impact on the business

05012023 11

Steps of the Risk Management Process

Step 1 Communicate and consultStep 2 Establish the contextStep 3 Identify the risksStep 4 Analyze the risksStep 5 Evaluate the risksStep 6 Treat the risksStep 7 Monitor and review

05012023 12

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 13

Summary of risk management steps

05012023 14

1505012023

1605012023

1705012023

1805012023

20

المالية Financial Risksالمخاطر السيولة ومخاطر السوق ومخاطر اإلئتمان مخاطر على وتشتمل

اإلئتمان Credit Riskمخاطرالمقترض قدرة عدم عن الناجمة المحتملة الخسائر هي اإلئتمانية المخاطرسياسية عامة ظروف بسبب المحددة المواعيد في بإلتزاماته الوفاء على

بمخاطر مصرفيا عنها ويعبر نفسه بالمقترض خاصة ظروف أو اقتصادية أو)2004حشاد ( Default Riskالتعثر

يتحمل اإلئتمان مخاطر عن الناجمة الخسائر تخفيض أجل ومن عام بشكلإستراتيجية وإعتماد وضع في المسؤولية العليا واإلدارة البنك إدارة مجلسوالبيئة العملي الواقع مع تتالءم عمل وإجراءات وسياسات التسهيالت منح

المؤهل الكادر وتعيين بإستمرار وتحديثها مراجعتها يتم وأن المصرفية والمراقبة والمتابعة المنح عمليات بتنفيذ القيام على القادر

السوق Market Riskمخاطرالبنك إيرادات على تؤثر أن يمكن التي المستقبلية أو الحالية المخاطر هي

وأسعار الصرف وأسعار الفائدة أسعار في التقلبات عن والناجمة ورأسماله متطلبات الى إضافته تم المخاطر من النوع وهذا والسلع المالية األوراق

العام في المال رأس كفاية اإلحتفاظ 1996معيار البنوك على يتوجب بحيثبأنواعها السوق مخاطر لمواجهة ألقسام برأسمال توضيح يلي وفيما

( السوق (BCBS1996مخاطر

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 4: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

Definition of Risk Management

Risk management is a process for identifying assessing and prioritizing risks of different kinds Once the risks are identified the risk manager will create a plan to minimize or eliminate the impact of negative events A variety of strategies is available depending on the type of risk and the type of business There are a number of risk management standards including those developed by the Project Management Institute the International Organization for Standardization (ISO) the National Institute of Science and Technology and actuarial societies

05012023 4

05012023 5

What is Risk

bull Risks are potential problems that may affect successful completion of a software project

bull Risks involve uncertainty and potential losses

bull Risk analysis and management are intended to help a software team understand and manage uncertainty during the development process

05012023 6

05012023 7

اليب ر بعدة أس13د يعرف الخط131313ا جميعا ق1313إال أنهموق13ف أ13و حادث13ة أ13و هو أجمع13ت عل13ى أ13ن الخط13ر

13يرة 1313و مس1313ل أ1313ياق العم1313ي س1313ة ف1313ة متوقع13مشكلالمشروع ق13د تؤدي إل13ى خس13ائر مادي13ة أ13و معنوي13ة ف المشروع ي بتوقن تنتهت أا تفاقما إذا من لهويمك

إ13ن الخط13ر األك13بر عل13ى األعمال يتلخ13ص وإنهياره 13ا باألخطار 131313ن يكون لدى اإلدارة توقعاته131313ي أ1313فالمحتمل13ة ولديه13ا التحلي13ل الواض13ح له13ا والتص13نيف ك س13اكنا ف13ي إتخاذ م13ا يلزم الالزم إال أنه13ا ال تحرم13ن إجراءات وخط13ط وإس13تراتيجيات لمعالج13ة هذه

األخطار قبل وقوعها للحد من آثارها

ndash عملية تتبع المثالية المخاطر إدارة حالة في األولويات ذات إعطاء المخاطر أن بحيث

عالية حدوث واحتمالية الكبيرة الخسائرالخسائر ذات المخاطر بينما أوال تعالج

فيما تعالج أقل حدوث واحتمالية األقل بعد جدا صعبة العملية هذه تكون قد عمليا

ذات المخاطر بين ما الموازنة أن كمامقابل القليلة والخسائر العالية االحتماليةوالخسائر القليلة االحتمالية ذات المخاطر

توليها يتم قد سيء العالية بشكل

Seven Principles of Risk Management

bull Maintain a global perspectivendash View software risks within the context of a system and the business

problem that is is intended to solvebull Take a forward-looking view

ndash Think about risks that may arise in the future establish contingency plansbull Encourage open communication

ndash Encourage all stakeholders and users to point out risks at any timebull Integrate risk management

ndash Integrate the consideration of risk into the software processbull Emphasize a continuous process of risk management

ndash Modify identified risks as more becomes known and add new risks as better insight is achieved

bull Develop a shared product visionndash A shared vision by all stakeholders facilitates better risk identification and

assessmentbull Encourage teamwork when managing risk

ndash Pool the skills and experience of all stakeholders when conducting risk management activities

05012023 10

ήρΎΨϤϟΓέΩ

ΓέΩ ϑ centήόΗϭ ήˬρΎΨϤϠϟΔμμΨΘϣΓέΩ ΩϮΟϮϟΔϴϤϫϷϯ Ϊ ϣϖΑΎδ ϟν ήόϟϦϣπ Θϳϰ ϟ ΎϬπ ϴϔΨΗϭήρΎΨϤϟΎΑϢ Auml˰ϜΤΘϟϰ ϟ ϑ Ϊ Ϭϳ ϱ άϟϱ έΩϹρΎθ ϨϟΎϬϧΑήρΎΨϤϟϪ AumlΟϮΘϟϯ Ϊ ϣϦϳήϴΧϷϦϳΪ Ϙόϟϲ ϓ˱ΎΤοϭϡΎϤΘϫϹήϬυ Ϊ ϗϭ ΔˬϟϮΒϘϣΕ ΎϳϮΘδ ϣ

ϩάϫϢΠΣΪ ϤΘόϳϭˬ ΔϴϟΎϤϟ Ε θ ϨϤϟϲ ϓΔλ ΎΧϭήρΎΨϤϠϟΔμμΨΘϣΕ έΩΎθ ϧϹ˯ϩάϫΕ ΎϴϟϭΆδ ϣϥ ϻˬ ΎϬρΎθ ϧωϮϧϭΔδ γ ΆϤϟ ϢΠΣϰ ϠϋΎϫέϭΩΪ ϳΪ ΤΗϭΕ έΩϹ

ϲ Ϡϳ ΎϤϴϓϡΎϋ Ϟ˳Ϝθ Ακ ΨϠΘΗΕ έΩϹ

1 ΎϬϠϴϠΤΗϭΎϬϔϳήόΗϭήρΎΨϤϟ ωϮϧΪ ϳΪ ΤΘϟΔϣίϼϟ β γ Ϸϊ οϭ2 ΔΤοϭΔϴϟϦϤοΎϬϘϴΛϮΗϭϑ Ϊ ϫϷΪ ϳΪ ΤΗϭΕ ΎϴΠϴΗ ήΘγ Ϲϊ οϭ 3 ΔόϗϮΘϤϟΎϫέΎΛΐ δ ΣΎϬϔϴϨμΗϭήρΎΨϤϠϟΕ ΎϧΎϴΑΓΪ ϋΎϗϊ οϭ 4 Ϛ ϟάΑΔλ ΎΨϟΕ ήΟϹϭήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϠϟΔϣίϼϟςτΨϟϊ οϭ 5 ΎϫέΎΛϦϣΪ ΤϠϟήρΎΨϤϟϰ Ϡϋ ΔΒΗήΘϤϟϞϛΎθ ϤϟέΎΛϵ ΔόΑΎΘ˵ϤϟέήϤΘγ 6 ΎϬϨϣΪ ΤϟϭΎϫέΎΛξ ϴϔΨΘϟΎϬϴϠϋΓήτϴδ ϟ ϭήρΎΨϤϟα ΎϴϗϭΪ ϳΪ ΤΗ

What is the Risk Management process

The Risk Management Process consists of a series of steps that when undertaken in sequence enable continual improvement in decision-makingThe Importance of Risk Management to Business Success

Risk management is an important part of planning for businesses The process of risk management is designed to reduce or eliminate the risk of certain kinds of events happening or having an impact on the business

05012023 11

Steps of the Risk Management Process

Step 1 Communicate and consultStep 2 Establish the contextStep 3 Identify the risksStep 4 Analyze the risksStep 5 Evaluate the risksStep 6 Treat the risksStep 7 Monitor and review

05012023 12

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 13

Summary of risk management steps

05012023 14

1505012023

1605012023

1705012023

1805012023

20

المالية Financial Risksالمخاطر السيولة ومخاطر السوق ومخاطر اإلئتمان مخاطر على وتشتمل

اإلئتمان Credit Riskمخاطرالمقترض قدرة عدم عن الناجمة المحتملة الخسائر هي اإلئتمانية المخاطرسياسية عامة ظروف بسبب المحددة المواعيد في بإلتزاماته الوفاء على

بمخاطر مصرفيا عنها ويعبر نفسه بالمقترض خاصة ظروف أو اقتصادية أو)2004حشاد ( Default Riskالتعثر

يتحمل اإلئتمان مخاطر عن الناجمة الخسائر تخفيض أجل ومن عام بشكلإستراتيجية وإعتماد وضع في المسؤولية العليا واإلدارة البنك إدارة مجلسوالبيئة العملي الواقع مع تتالءم عمل وإجراءات وسياسات التسهيالت منح

المؤهل الكادر وتعيين بإستمرار وتحديثها مراجعتها يتم وأن المصرفية والمراقبة والمتابعة المنح عمليات بتنفيذ القيام على القادر

السوق Market Riskمخاطرالبنك إيرادات على تؤثر أن يمكن التي المستقبلية أو الحالية المخاطر هي

وأسعار الصرف وأسعار الفائدة أسعار في التقلبات عن والناجمة ورأسماله متطلبات الى إضافته تم المخاطر من النوع وهذا والسلع المالية األوراق

العام في المال رأس كفاية اإلحتفاظ 1996معيار البنوك على يتوجب بحيثبأنواعها السوق مخاطر لمواجهة ألقسام برأسمال توضيح يلي وفيما

( السوق (BCBS1996مخاطر

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 5: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 5

What is Risk

bull Risks are potential problems that may affect successful completion of a software project

bull Risks involve uncertainty and potential losses

bull Risk analysis and management are intended to help a software team understand and manage uncertainty during the development process

05012023 6

05012023 7

اليب ر بعدة أس13د يعرف الخط131313ا جميعا ق1313إال أنهموق13ف أ13و حادث13ة أ13و هو أجمع13ت عل13ى أ13ن الخط13ر

13يرة 1313و مس1313ل أ1313ياق العم1313ي س1313ة ف1313ة متوقع13مشكلالمشروع ق13د تؤدي إل13ى خس13ائر مادي13ة أ13و معنوي13ة ف المشروع ي بتوقن تنتهت أا تفاقما إذا من لهويمك

إ13ن الخط13ر األك13بر عل13ى األعمال يتلخ13ص وإنهياره 13ا باألخطار 131313ن يكون لدى اإلدارة توقعاته131313ي أ1313فالمحتمل13ة ولديه13ا التحلي13ل الواض13ح له13ا والتص13نيف ك س13اكنا ف13ي إتخاذ م13ا يلزم الالزم إال أنه13ا ال تحرم13ن إجراءات وخط13ط وإس13تراتيجيات لمعالج13ة هذه

األخطار قبل وقوعها للحد من آثارها

ndash عملية تتبع المثالية المخاطر إدارة حالة في األولويات ذات إعطاء المخاطر أن بحيث

عالية حدوث واحتمالية الكبيرة الخسائرالخسائر ذات المخاطر بينما أوال تعالج

فيما تعالج أقل حدوث واحتمالية األقل بعد جدا صعبة العملية هذه تكون قد عمليا

ذات المخاطر بين ما الموازنة أن كمامقابل القليلة والخسائر العالية االحتماليةوالخسائر القليلة االحتمالية ذات المخاطر

توليها يتم قد سيء العالية بشكل

Seven Principles of Risk Management

bull Maintain a global perspectivendash View software risks within the context of a system and the business

problem that is is intended to solvebull Take a forward-looking view

ndash Think about risks that may arise in the future establish contingency plansbull Encourage open communication

ndash Encourage all stakeholders and users to point out risks at any timebull Integrate risk management

ndash Integrate the consideration of risk into the software processbull Emphasize a continuous process of risk management

ndash Modify identified risks as more becomes known and add new risks as better insight is achieved

bull Develop a shared product visionndash A shared vision by all stakeholders facilitates better risk identification and

assessmentbull Encourage teamwork when managing risk

ndash Pool the skills and experience of all stakeholders when conducting risk management activities

05012023 10

ήρΎΨϤϟΓέΩ

ΓέΩ ϑ centήόΗϭ ήˬρΎΨϤϠϟΔμμΨΘϣΓέΩ ΩϮΟϮϟΔϴϤϫϷϯ Ϊ ϣϖΑΎδ ϟν ήόϟϦϣπ Θϳϰ ϟ ΎϬπ ϴϔΨΗϭήρΎΨϤϟΎΑϢ Auml˰ϜΤΘϟϰ ϟ ϑ Ϊ Ϭϳ ϱ άϟϱ έΩϹρΎθ ϨϟΎϬϧΑήρΎΨϤϟϪ AumlΟϮΘϟϯ Ϊ ϣϦϳήϴΧϷϦϳΪ Ϙόϟϲ ϓ˱ΎΤοϭϡΎϤΘϫϹήϬυ Ϊ ϗϭ ΔˬϟϮΒϘϣΕ ΎϳϮΘδ ϣ

ϩάϫϢΠΣΪ ϤΘόϳϭˬ ΔϴϟΎϤϟ Ε θ ϨϤϟϲ ϓΔλ ΎΧϭήρΎΨϤϠϟΔμμΨΘϣΕ έΩΎθ ϧϹ˯ϩάϫΕ ΎϴϟϭΆδ ϣϥ ϻˬ ΎϬρΎθ ϧωϮϧϭΔδ γ ΆϤϟ ϢΠΣϰ ϠϋΎϫέϭΩΪ ϳΪ ΤΗϭΕ έΩϹ

ϲ Ϡϳ ΎϤϴϓϡΎϋ Ϟ˳Ϝθ Ακ ΨϠΘΗΕ έΩϹ

1 ΎϬϠϴϠΤΗϭΎϬϔϳήόΗϭήρΎΨϤϟ ωϮϧΪ ϳΪ ΤΘϟΔϣίϼϟ β γ Ϸϊ οϭ2 ΔΤοϭΔϴϟϦϤοΎϬϘϴΛϮΗϭϑ Ϊ ϫϷΪ ϳΪ ΤΗϭΕ ΎϴΠϴΗ ήΘγ Ϲϊ οϭ 3 ΔόϗϮΘϤϟΎϫέΎΛΐ δ ΣΎϬϔϴϨμΗϭήρΎΨϤϠϟΕ ΎϧΎϴΑΓΪ ϋΎϗϊ οϭ 4 Ϛ ϟάΑΔλ ΎΨϟΕ ήΟϹϭήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϠϟΔϣίϼϟςτΨϟϊ οϭ 5 ΎϫέΎΛϦϣΪ ΤϠϟήρΎΨϤϟϰ Ϡϋ ΔΒΗήΘϤϟϞϛΎθ ϤϟέΎΛϵ ΔόΑΎΘ˵ϤϟέήϤΘγ 6 ΎϬϨϣΪ ΤϟϭΎϫέΎΛξ ϴϔΨΘϟΎϬϴϠϋΓήτϴδ ϟ ϭήρΎΨϤϟα ΎϴϗϭΪ ϳΪ ΤΗ

What is the Risk Management process

The Risk Management Process consists of a series of steps that when undertaken in sequence enable continual improvement in decision-makingThe Importance of Risk Management to Business Success

Risk management is an important part of planning for businesses The process of risk management is designed to reduce or eliminate the risk of certain kinds of events happening or having an impact on the business

05012023 11

Steps of the Risk Management Process

Step 1 Communicate and consultStep 2 Establish the contextStep 3 Identify the risksStep 4 Analyze the risksStep 5 Evaluate the risksStep 6 Treat the risksStep 7 Monitor and review

05012023 12

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 13

Summary of risk management steps

05012023 14

1505012023

1605012023

1705012023

1805012023

20

المالية Financial Risksالمخاطر السيولة ومخاطر السوق ومخاطر اإلئتمان مخاطر على وتشتمل

اإلئتمان Credit Riskمخاطرالمقترض قدرة عدم عن الناجمة المحتملة الخسائر هي اإلئتمانية المخاطرسياسية عامة ظروف بسبب المحددة المواعيد في بإلتزاماته الوفاء على

بمخاطر مصرفيا عنها ويعبر نفسه بالمقترض خاصة ظروف أو اقتصادية أو)2004حشاد ( Default Riskالتعثر

يتحمل اإلئتمان مخاطر عن الناجمة الخسائر تخفيض أجل ومن عام بشكلإستراتيجية وإعتماد وضع في المسؤولية العليا واإلدارة البنك إدارة مجلسوالبيئة العملي الواقع مع تتالءم عمل وإجراءات وسياسات التسهيالت منح

المؤهل الكادر وتعيين بإستمرار وتحديثها مراجعتها يتم وأن المصرفية والمراقبة والمتابعة المنح عمليات بتنفيذ القيام على القادر

السوق Market Riskمخاطرالبنك إيرادات على تؤثر أن يمكن التي المستقبلية أو الحالية المخاطر هي

وأسعار الصرف وأسعار الفائدة أسعار في التقلبات عن والناجمة ورأسماله متطلبات الى إضافته تم المخاطر من النوع وهذا والسلع المالية األوراق

العام في المال رأس كفاية اإلحتفاظ 1996معيار البنوك على يتوجب بحيثبأنواعها السوق مخاطر لمواجهة ألقسام برأسمال توضيح يلي وفيما

( السوق (BCBS1996مخاطر

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 6: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

What is Risk

bull Risks are potential problems that may affect successful completion of a software project

bull Risks involve uncertainty and potential losses

bull Risk analysis and management are intended to help a software team understand and manage uncertainty during the development process

05012023 6

05012023 7

اليب ر بعدة أس13د يعرف الخط131313ا جميعا ق1313إال أنهموق13ف أ13و حادث13ة أ13و هو أجمع13ت عل13ى أ13ن الخط13ر

13يرة 1313و مس1313ل أ1313ياق العم1313ي س1313ة ف1313ة متوقع13مشكلالمشروع ق13د تؤدي إل13ى خس13ائر مادي13ة أ13و معنوي13ة ف المشروع ي بتوقن تنتهت أا تفاقما إذا من لهويمك

إ13ن الخط13ر األك13بر عل13ى األعمال يتلخ13ص وإنهياره 13ا باألخطار 131313ن يكون لدى اإلدارة توقعاته131313ي أ1313فالمحتمل13ة ولديه13ا التحلي13ل الواض13ح له13ا والتص13نيف ك س13اكنا ف13ي إتخاذ م13ا يلزم الالزم إال أنه13ا ال تحرم13ن إجراءات وخط13ط وإس13تراتيجيات لمعالج13ة هذه

األخطار قبل وقوعها للحد من آثارها

ndash عملية تتبع المثالية المخاطر إدارة حالة في األولويات ذات إعطاء المخاطر أن بحيث

عالية حدوث واحتمالية الكبيرة الخسائرالخسائر ذات المخاطر بينما أوال تعالج

فيما تعالج أقل حدوث واحتمالية األقل بعد جدا صعبة العملية هذه تكون قد عمليا

ذات المخاطر بين ما الموازنة أن كمامقابل القليلة والخسائر العالية االحتماليةوالخسائر القليلة االحتمالية ذات المخاطر

توليها يتم قد سيء العالية بشكل

Seven Principles of Risk Management

bull Maintain a global perspectivendash View software risks within the context of a system and the business

problem that is is intended to solvebull Take a forward-looking view

ndash Think about risks that may arise in the future establish contingency plansbull Encourage open communication

ndash Encourage all stakeholders and users to point out risks at any timebull Integrate risk management

ndash Integrate the consideration of risk into the software processbull Emphasize a continuous process of risk management

ndash Modify identified risks as more becomes known and add new risks as better insight is achieved

bull Develop a shared product visionndash A shared vision by all stakeholders facilitates better risk identification and

assessmentbull Encourage teamwork when managing risk

ndash Pool the skills and experience of all stakeholders when conducting risk management activities

05012023 10

ήρΎΨϤϟΓέΩ

ΓέΩ ϑ centήόΗϭ ήˬρΎΨϤϠϟΔμμΨΘϣΓέΩ ΩϮΟϮϟΔϴϤϫϷϯ Ϊ ϣϖΑΎδ ϟν ήόϟϦϣπ Θϳϰ ϟ ΎϬπ ϴϔΨΗϭήρΎΨϤϟΎΑϢ Auml˰ϜΤΘϟϰ ϟ ϑ Ϊ Ϭϳ ϱ άϟϱ έΩϹρΎθ ϨϟΎϬϧΑήρΎΨϤϟϪ AumlΟϮΘϟϯ Ϊ ϣϦϳήϴΧϷϦϳΪ Ϙόϟϲ ϓ˱ΎΤοϭϡΎϤΘϫϹήϬυ Ϊ ϗϭ ΔˬϟϮΒϘϣΕ ΎϳϮΘδ ϣ

ϩάϫϢΠΣΪ ϤΘόϳϭˬ ΔϴϟΎϤϟ Ε θ ϨϤϟϲ ϓΔλ ΎΧϭήρΎΨϤϠϟΔμμΨΘϣΕ έΩΎθ ϧϹ˯ϩάϫΕ ΎϴϟϭΆδ ϣϥ ϻˬ ΎϬρΎθ ϧωϮϧϭΔδ γ ΆϤϟ ϢΠΣϰ ϠϋΎϫέϭΩΪ ϳΪ ΤΗϭΕ έΩϹ

ϲ Ϡϳ ΎϤϴϓϡΎϋ Ϟ˳Ϝθ Ακ ΨϠΘΗΕ έΩϹ

1 ΎϬϠϴϠΤΗϭΎϬϔϳήόΗϭήρΎΨϤϟ ωϮϧΪ ϳΪ ΤΘϟΔϣίϼϟ β γ Ϸϊ οϭ2 ΔΤοϭΔϴϟϦϤοΎϬϘϴΛϮΗϭϑ Ϊ ϫϷΪ ϳΪ ΤΗϭΕ ΎϴΠϴΗ ήΘγ Ϲϊ οϭ 3 ΔόϗϮΘϤϟΎϫέΎΛΐ δ ΣΎϬϔϴϨμΗϭήρΎΨϤϠϟΕ ΎϧΎϴΑΓΪ ϋΎϗϊ οϭ 4 Ϛ ϟάΑΔλ ΎΨϟΕ ήΟϹϭήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϠϟΔϣίϼϟςτΨϟϊ οϭ 5 ΎϫέΎΛϦϣΪ ΤϠϟήρΎΨϤϟϰ Ϡϋ ΔΒΗήΘϤϟϞϛΎθ ϤϟέΎΛϵ ΔόΑΎΘ˵ϤϟέήϤΘγ 6 ΎϬϨϣΪ ΤϟϭΎϫέΎΛξ ϴϔΨΘϟΎϬϴϠϋΓήτϴδ ϟ ϭήρΎΨϤϟα ΎϴϗϭΪ ϳΪ ΤΗ

What is the Risk Management process

The Risk Management Process consists of a series of steps that when undertaken in sequence enable continual improvement in decision-makingThe Importance of Risk Management to Business Success

Risk management is an important part of planning for businesses The process of risk management is designed to reduce or eliminate the risk of certain kinds of events happening or having an impact on the business

05012023 11

Steps of the Risk Management Process

Step 1 Communicate and consultStep 2 Establish the contextStep 3 Identify the risksStep 4 Analyze the risksStep 5 Evaluate the risksStep 6 Treat the risksStep 7 Monitor and review

05012023 12

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 13

Summary of risk management steps

05012023 14

1505012023

1605012023

1705012023

1805012023

20

المالية Financial Risksالمخاطر السيولة ومخاطر السوق ومخاطر اإلئتمان مخاطر على وتشتمل

اإلئتمان Credit Riskمخاطرالمقترض قدرة عدم عن الناجمة المحتملة الخسائر هي اإلئتمانية المخاطرسياسية عامة ظروف بسبب المحددة المواعيد في بإلتزاماته الوفاء على

بمخاطر مصرفيا عنها ويعبر نفسه بالمقترض خاصة ظروف أو اقتصادية أو)2004حشاد ( Default Riskالتعثر

يتحمل اإلئتمان مخاطر عن الناجمة الخسائر تخفيض أجل ومن عام بشكلإستراتيجية وإعتماد وضع في المسؤولية العليا واإلدارة البنك إدارة مجلسوالبيئة العملي الواقع مع تتالءم عمل وإجراءات وسياسات التسهيالت منح

المؤهل الكادر وتعيين بإستمرار وتحديثها مراجعتها يتم وأن المصرفية والمراقبة والمتابعة المنح عمليات بتنفيذ القيام على القادر

السوق Market Riskمخاطرالبنك إيرادات على تؤثر أن يمكن التي المستقبلية أو الحالية المخاطر هي

وأسعار الصرف وأسعار الفائدة أسعار في التقلبات عن والناجمة ورأسماله متطلبات الى إضافته تم المخاطر من النوع وهذا والسلع المالية األوراق

العام في المال رأس كفاية اإلحتفاظ 1996معيار البنوك على يتوجب بحيثبأنواعها السوق مخاطر لمواجهة ألقسام برأسمال توضيح يلي وفيما

( السوق (BCBS1996مخاطر

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 7: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 7

اليب ر بعدة أس13د يعرف الخط131313ا جميعا ق1313إال أنهموق13ف أ13و حادث13ة أ13و هو أجمع13ت عل13ى أ13ن الخط13ر

13يرة 1313و مس1313ل أ1313ياق العم1313ي س1313ة ف1313ة متوقع13مشكلالمشروع ق13د تؤدي إل13ى خس13ائر مادي13ة أ13و معنوي13ة ف المشروع ي بتوقن تنتهت أا تفاقما إذا من لهويمك

إ13ن الخط13ر األك13بر عل13ى األعمال يتلخ13ص وإنهياره 13ا باألخطار 131313ن يكون لدى اإلدارة توقعاته131313ي أ1313فالمحتمل13ة ولديه13ا التحلي13ل الواض13ح له13ا والتص13نيف ك س13اكنا ف13ي إتخاذ م13ا يلزم الالزم إال أنه13ا ال تحرم13ن إجراءات وخط13ط وإس13تراتيجيات لمعالج13ة هذه

األخطار قبل وقوعها للحد من آثارها

ndash عملية تتبع المثالية المخاطر إدارة حالة في األولويات ذات إعطاء المخاطر أن بحيث

عالية حدوث واحتمالية الكبيرة الخسائرالخسائر ذات المخاطر بينما أوال تعالج

فيما تعالج أقل حدوث واحتمالية األقل بعد جدا صعبة العملية هذه تكون قد عمليا

ذات المخاطر بين ما الموازنة أن كمامقابل القليلة والخسائر العالية االحتماليةوالخسائر القليلة االحتمالية ذات المخاطر

توليها يتم قد سيء العالية بشكل

Seven Principles of Risk Management

bull Maintain a global perspectivendash View software risks within the context of a system and the business

problem that is is intended to solvebull Take a forward-looking view

ndash Think about risks that may arise in the future establish contingency plansbull Encourage open communication

ndash Encourage all stakeholders and users to point out risks at any timebull Integrate risk management

ndash Integrate the consideration of risk into the software processbull Emphasize a continuous process of risk management

ndash Modify identified risks as more becomes known and add new risks as better insight is achieved

bull Develop a shared product visionndash A shared vision by all stakeholders facilitates better risk identification and

assessmentbull Encourage teamwork when managing risk

ndash Pool the skills and experience of all stakeholders when conducting risk management activities

05012023 10

ήρΎΨϤϟΓέΩ

ΓέΩ ϑ centήόΗϭ ήˬρΎΨϤϠϟΔμμΨΘϣΓέΩ ΩϮΟϮϟΔϴϤϫϷϯ Ϊ ϣϖΑΎδ ϟν ήόϟϦϣπ Θϳϰ ϟ ΎϬπ ϴϔΨΗϭήρΎΨϤϟΎΑϢ Auml˰ϜΤΘϟϰ ϟ ϑ Ϊ Ϭϳ ϱ άϟϱ έΩϹρΎθ ϨϟΎϬϧΑήρΎΨϤϟϪ AumlΟϮΘϟϯ Ϊ ϣϦϳήϴΧϷϦϳΪ Ϙόϟϲ ϓ˱ΎΤοϭϡΎϤΘϫϹήϬυ Ϊ ϗϭ ΔˬϟϮΒϘϣΕ ΎϳϮΘδ ϣ

ϩάϫϢΠΣΪ ϤΘόϳϭˬ ΔϴϟΎϤϟ Ε θ ϨϤϟϲ ϓΔλ ΎΧϭήρΎΨϤϠϟΔμμΨΘϣΕ έΩΎθ ϧϹ˯ϩάϫΕ ΎϴϟϭΆδ ϣϥ ϻˬ ΎϬρΎθ ϧωϮϧϭΔδ γ ΆϤϟ ϢΠΣϰ ϠϋΎϫέϭΩΪ ϳΪ ΤΗϭΕ έΩϹ

ϲ Ϡϳ ΎϤϴϓϡΎϋ Ϟ˳Ϝθ Ακ ΨϠΘΗΕ έΩϹ

1 ΎϬϠϴϠΤΗϭΎϬϔϳήόΗϭήρΎΨϤϟ ωϮϧΪ ϳΪ ΤΘϟΔϣίϼϟ β γ Ϸϊ οϭ2 ΔΤοϭΔϴϟϦϤοΎϬϘϴΛϮΗϭϑ Ϊ ϫϷΪ ϳΪ ΤΗϭΕ ΎϴΠϴΗ ήΘγ Ϲϊ οϭ 3 ΔόϗϮΘϤϟΎϫέΎΛΐ δ ΣΎϬϔϴϨμΗϭήρΎΨϤϠϟΕ ΎϧΎϴΑΓΪ ϋΎϗϊ οϭ 4 Ϛ ϟάΑΔλ ΎΨϟΕ ήΟϹϭήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϠϟΔϣίϼϟςτΨϟϊ οϭ 5 ΎϫέΎΛϦϣΪ ΤϠϟήρΎΨϤϟϰ Ϡϋ ΔΒΗήΘϤϟϞϛΎθ ϤϟέΎΛϵ ΔόΑΎΘ˵ϤϟέήϤΘγ 6 ΎϬϨϣΪ ΤϟϭΎϫέΎΛξ ϴϔΨΘϟΎϬϴϠϋΓήτϴδ ϟ ϭήρΎΨϤϟα ΎϴϗϭΪ ϳΪ ΤΗ

What is the Risk Management process

The Risk Management Process consists of a series of steps that when undertaken in sequence enable continual improvement in decision-makingThe Importance of Risk Management to Business Success

Risk management is an important part of planning for businesses The process of risk management is designed to reduce or eliminate the risk of certain kinds of events happening or having an impact on the business

05012023 11

Steps of the Risk Management Process

Step 1 Communicate and consultStep 2 Establish the contextStep 3 Identify the risksStep 4 Analyze the risksStep 5 Evaluate the risksStep 6 Treat the risksStep 7 Monitor and review

05012023 12

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 13

Summary of risk management steps

05012023 14

1505012023

1605012023

1705012023

1805012023

20

المالية Financial Risksالمخاطر السيولة ومخاطر السوق ومخاطر اإلئتمان مخاطر على وتشتمل

اإلئتمان Credit Riskمخاطرالمقترض قدرة عدم عن الناجمة المحتملة الخسائر هي اإلئتمانية المخاطرسياسية عامة ظروف بسبب المحددة المواعيد في بإلتزاماته الوفاء على

بمخاطر مصرفيا عنها ويعبر نفسه بالمقترض خاصة ظروف أو اقتصادية أو)2004حشاد ( Default Riskالتعثر

يتحمل اإلئتمان مخاطر عن الناجمة الخسائر تخفيض أجل ومن عام بشكلإستراتيجية وإعتماد وضع في المسؤولية العليا واإلدارة البنك إدارة مجلسوالبيئة العملي الواقع مع تتالءم عمل وإجراءات وسياسات التسهيالت منح

المؤهل الكادر وتعيين بإستمرار وتحديثها مراجعتها يتم وأن المصرفية والمراقبة والمتابعة المنح عمليات بتنفيذ القيام على القادر

السوق Market Riskمخاطرالبنك إيرادات على تؤثر أن يمكن التي المستقبلية أو الحالية المخاطر هي

وأسعار الصرف وأسعار الفائدة أسعار في التقلبات عن والناجمة ورأسماله متطلبات الى إضافته تم المخاطر من النوع وهذا والسلع المالية األوراق

العام في المال رأس كفاية اإلحتفاظ 1996معيار البنوك على يتوجب بحيثبأنواعها السوق مخاطر لمواجهة ألقسام برأسمال توضيح يلي وفيما

( السوق (BCBS1996مخاطر

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 8: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

ndash عملية تتبع المثالية المخاطر إدارة حالة في األولويات ذات إعطاء المخاطر أن بحيث

عالية حدوث واحتمالية الكبيرة الخسائرالخسائر ذات المخاطر بينما أوال تعالج

فيما تعالج أقل حدوث واحتمالية األقل بعد جدا صعبة العملية هذه تكون قد عمليا

ذات المخاطر بين ما الموازنة أن كمامقابل القليلة والخسائر العالية االحتماليةوالخسائر القليلة االحتمالية ذات المخاطر

توليها يتم قد سيء العالية بشكل

Seven Principles of Risk Management

bull Maintain a global perspectivendash View software risks within the context of a system and the business

problem that is is intended to solvebull Take a forward-looking view

ndash Think about risks that may arise in the future establish contingency plansbull Encourage open communication

ndash Encourage all stakeholders and users to point out risks at any timebull Integrate risk management

ndash Integrate the consideration of risk into the software processbull Emphasize a continuous process of risk management

ndash Modify identified risks as more becomes known and add new risks as better insight is achieved

bull Develop a shared product visionndash A shared vision by all stakeholders facilitates better risk identification and

assessmentbull Encourage teamwork when managing risk

ndash Pool the skills and experience of all stakeholders when conducting risk management activities

05012023 10

ήρΎΨϤϟΓέΩ

ΓέΩ ϑ centήόΗϭ ήˬρΎΨϤϠϟΔμμΨΘϣΓέΩ ΩϮΟϮϟΔϴϤϫϷϯ Ϊ ϣϖΑΎδ ϟν ήόϟϦϣπ Θϳϰ ϟ ΎϬπ ϴϔΨΗϭήρΎΨϤϟΎΑϢ Auml˰ϜΤΘϟϰ ϟ ϑ Ϊ Ϭϳ ϱ άϟϱ έΩϹρΎθ ϨϟΎϬϧΑήρΎΨϤϟϪ AumlΟϮΘϟϯ Ϊ ϣϦϳήϴΧϷϦϳΪ Ϙόϟϲ ϓ˱ΎΤοϭϡΎϤΘϫϹήϬυ Ϊ ϗϭ ΔˬϟϮΒϘϣΕ ΎϳϮΘδ ϣ

ϩάϫϢΠΣΪ ϤΘόϳϭˬ ΔϴϟΎϤϟ Ε θ ϨϤϟϲ ϓΔλ ΎΧϭήρΎΨϤϠϟΔμμΨΘϣΕ έΩΎθ ϧϹ˯ϩάϫΕ ΎϴϟϭΆδ ϣϥ ϻˬ ΎϬρΎθ ϧωϮϧϭΔδ γ ΆϤϟ ϢΠΣϰ ϠϋΎϫέϭΩΪ ϳΪ ΤΗϭΕ έΩϹ

ϲ Ϡϳ ΎϤϴϓϡΎϋ Ϟ˳Ϝθ Ακ ΨϠΘΗΕ έΩϹ

1 ΎϬϠϴϠΤΗϭΎϬϔϳήόΗϭήρΎΨϤϟ ωϮϧΪ ϳΪ ΤΘϟΔϣίϼϟ β γ Ϸϊ οϭ2 ΔΤοϭΔϴϟϦϤοΎϬϘϴΛϮΗϭϑ Ϊ ϫϷΪ ϳΪ ΤΗϭΕ ΎϴΠϴΗ ήΘγ Ϲϊ οϭ 3 ΔόϗϮΘϤϟΎϫέΎΛΐ δ ΣΎϬϔϴϨμΗϭήρΎΨϤϠϟΕ ΎϧΎϴΑΓΪ ϋΎϗϊ οϭ 4 Ϛ ϟάΑΔλ ΎΨϟΕ ήΟϹϭήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϠϟΔϣίϼϟςτΨϟϊ οϭ 5 ΎϫέΎΛϦϣΪ ΤϠϟήρΎΨϤϟϰ Ϡϋ ΔΒΗήΘϤϟϞϛΎθ ϤϟέΎΛϵ ΔόΑΎΘ˵ϤϟέήϤΘγ 6 ΎϬϨϣΪ ΤϟϭΎϫέΎΛξ ϴϔΨΘϟΎϬϴϠϋΓήτϴδ ϟ ϭήρΎΨϤϟα ΎϴϗϭΪ ϳΪ ΤΗ

What is the Risk Management process

The Risk Management Process consists of a series of steps that when undertaken in sequence enable continual improvement in decision-makingThe Importance of Risk Management to Business Success

Risk management is an important part of planning for businesses The process of risk management is designed to reduce or eliminate the risk of certain kinds of events happening or having an impact on the business

05012023 11

Steps of the Risk Management Process

Step 1 Communicate and consultStep 2 Establish the contextStep 3 Identify the risksStep 4 Analyze the risksStep 5 Evaluate the risksStep 6 Treat the risksStep 7 Monitor and review

05012023 12

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 13

Summary of risk management steps

05012023 14

1505012023

1605012023

1705012023

1805012023

20

المالية Financial Risksالمخاطر السيولة ومخاطر السوق ومخاطر اإلئتمان مخاطر على وتشتمل

اإلئتمان Credit Riskمخاطرالمقترض قدرة عدم عن الناجمة المحتملة الخسائر هي اإلئتمانية المخاطرسياسية عامة ظروف بسبب المحددة المواعيد في بإلتزاماته الوفاء على

بمخاطر مصرفيا عنها ويعبر نفسه بالمقترض خاصة ظروف أو اقتصادية أو)2004حشاد ( Default Riskالتعثر

يتحمل اإلئتمان مخاطر عن الناجمة الخسائر تخفيض أجل ومن عام بشكلإستراتيجية وإعتماد وضع في المسؤولية العليا واإلدارة البنك إدارة مجلسوالبيئة العملي الواقع مع تتالءم عمل وإجراءات وسياسات التسهيالت منح

المؤهل الكادر وتعيين بإستمرار وتحديثها مراجعتها يتم وأن المصرفية والمراقبة والمتابعة المنح عمليات بتنفيذ القيام على القادر

السوق Market Riskمخاطرالبنك إيرادات على تؤثر أن يمكن التي المستقبلية أو الحالية المخاطر هي

وأسعار الصرف وأسعار الفائدة أسعار في التقلبات عن والناجمة ورأسماله متطلبات الى إضافته تم المخاطر من النوع وهذا والسلع المالية األوراق

العام في المال رأس كفاية اإلحتفاظ 1996معيار البنوك على يتوجب بحيثبأنواعها السوق مخاطر لمواجهة ألقسام برأسمال توضيح يلي وفيما

( السوق (BCBS1996مخاطر

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 9: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

Seven Principles of Risk Management

bull Maintain a global perspectivendash View software risks within the context of a system and the business

problem that is is intended to solvebull Take a forward-looking view

ndash Think about risks that may arise in the future establish contingency plansbull Encourage open communication

ndash Encourage all stakeholders and users to point out risks at any timebull Integrate risk management

ndash Integrate the consideration of risk into the software processbull Emphasize a continuous process of risk management

ndash Modify identified risks as more becomes known and add new risks as better insight is achieved

bull Develop a shared product visionndash A shared vision by all stakeholders facilitates better risk identification and

assessmentbull Encourage teamwork when managing risk

ndash Pool the skills and experience of all stakeholders when conducting risk management activities

05012023 10

ήρΎΨϤϟΓέΩ

ΓέΩ ϑ centήόΗϭ ήˬρΎΨϤϠϟΔμμΨΘϣΓέΩ ΩϮΟϮϟΔϴϤϫϷϯ Ϊ ϣϖΑΎδ ϟν ήόϟϦϣπ Θϳϰ ϟ ΎϬπ ϴϔΨΗϭήρΎΨϤϟΎΑϢ Auml˰ϜΤΘϟϰ ϟ ϑ Ϊ Ϭϳ ϱ άϟϱ έΩϹρΎθ ϨϟΎϬϧΑήρΎΨϤϟϪ AumlΟϮΘϟϯ Ϊ ϣϦϳήϴΧϷϦϳΪ Ϙόϟϲ ϓ˱ΎΤοϭϡΎϤΘϫϹήϬυ Ϊ ϗϭ ΔˬϟϮΒϘϣΕ ΎϳϮΘδ ϣ

ϩάϫϢΠΣΪ ϤΘόϳϭˬ ΔϴϟΎϤϟ Ε θ ϨϤϟϲ ϓΔλ ΎΧϭήρΎΨϤϠϟΔμμΨΘϣΕ έΩΎθ ϧϹ˯ϩάϫΕ ΎϴϟϭΆδ ϣϥ ϻˬ ΎϬρΎθ ϧωϮϧϭΔδ γ ΆϤϟ ϢΠΣϰ ϠϋΎϫέϭΩΪ ϳΪ ΤΗϭΕ έΩϹ

ϲ Ϡϳ ΎϤϴϓϡΎϋ Ϟ˳Ϝθ Ακ ΨϠΘΗΕ έΩϹ

1 ΎϬϠϴϠΤΗϭΎϬϔϳήόΗϭήρΎΨϤϟ ωϮϧΪ ϳΪ ΤΘϟΔϣίϼϟ β γ Ϸϊ οϭ2 ΔΤοϭΔϴϟϦϤοΎϬϘϴΛϮΗϭϑ Ϊ ϫϷΪ ϳΪ ΤΗϭΕ ΎϴΠϴΗ ήΘγ Ϲϊ οϭ 3 ΔόϗϮΘϤϟΎϫέΎΛΐ δ ΣΎϬϔϴϨμΗϭήρΎΨϤϠϟΕ ΎϧΎϴΑΓΪ ϋΎϗϊ οϭ 4 Ϛ ϟάΑΔλ ΎΨϟΕ ήΟϹϭήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϠϟΔϣίϼϟςτΨϟϊ οϭ 5 ΎϫέΎΛϦϣΪ ΤϠϟήρΎΨϤϟϰ Ϡϋ ΔΒΗήΘϤϟϞϛΎθ ϤϟέΎΛϵ ΔόΑΎΘ˵ϤϟέήϤΘγ 6 ΎϬϨϣΪ ΤϟϭΎϫέΎΛξ ϴϔΨΘϟΎϬϴϠϋΓήτϴδ ϟ ϭήρΎΨϤϟα ΎϴϗϭΪ ϳΪ ΤΗ

What is the Risk Management process

The Risk Management Process consists of a series of steps that when undertaken in sequence enable continual improvement in decision-makingThe Importance of Risk Management to Business Success

Risk management is an important part of planning for businesses The process of risk management is designed to reduce or eliminate the risk of certain kinds of events happening or having an impact on the business

05012023 11

Steps of the Risk Management Process

Step 1 Communicate and consultStep 2 Establish the contextStep 3 Identify the risksStep 4 Analyze the risksStep 5 Evaluate the risksStep 6 Treat the risksStep 7 Monitor and review

05012023 12

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 13

Summary of risk management steps

05012023 14

1505012023

1605012023

1705012023

1805012023

20

المالية Financial Risksالمخاطر السيولة ومخاطر السوق ومخاطر اإلئتمان مخاطر على وتشتمل

اإلئتمان Credit Riskمخاطرالمقترض قدرة عدم عن الناجمة المحتملة الخسائر هي اإلئتمانية المخاطرسياسية عامة ظروف بسبب المحددة المواعيد في بإلتزاماته الوفاء على

بمخاطر مصرفيا عنها ويعبر نفسه بالمقترض خاصة ظروف أو اقتصادية أو)2004حشاد ( Default Riskالتعثر

يتحمل اإلئتمان مخاطر عن الناجمة الخسائر تخفيض أجل ومن عام بشكلإستراتيجية وإعتماد وضع في المسؤولية العليا واإلدارة البنك إدارة مجلسوالبيئة العملي الواقع مع تتالءم عمل وإجراءات وسياسات التسهيالت منح

المؤهل الكادر وتعيين بإستمرار وتحديثها مراجعتها يتم وأن المصرفية والمراقبة والمتابعة المنح عمليات بتنفيذ القيام على القادر

السوق Market Riskمخاطرالبنك إيرادات على تؤثر أن يمكن التي المستقبلية أو الحالية المخاطر هي

وأسعار الصرف وأسعار الفائدة أسعار في التقلبات عن والناجمة ورأسماله متطلبات الى إضافته تم المخاطر من النوع وهذا والسلع المالية األوراق

العام في المال رأس كفاية اإلحتفاظ 1996معيار البنوك على يتوجب بحيثبأنواعها السوق مخاطر لمواجهة ألقسام برأسمال توضيح يلي وفيما

( السوق (BCBS1996مخاطر

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 10: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 10

ήρΎΨϤϟΓέΩ

ΓέΩ ϑ centήόΗϭ ήˬρΎΨϤϠϟΔμμΨΘϣΓέΩ ΩϮΟϮϟΔϴϤϫϷϯ Ϊ ϣϖΑΎδ ϟν ήόϟϦϣπ Θϳϰ ϟ ΎϬπ ϴϔΨΗϭήρΎΨϤϟΎΑϢ Auml˰ϜΤΘϟϰ ϟ ϑ Ϊ Ϭϳ ϱ άϟϱ έΩϹρΎθ ϨϟΎϬϧΑήρΎΨϤϟϪ AumlΟϮΘϟϯ Ϊ ϣϦϳήϴΧϷϦϳΪ Ϙόϟϲ ϓ˱ΎΤοϭϡΎϤΘϫϹήϬυ Ϊ ϗϭ ΔˬϟϮΒϘϣΕ ΎϳϮΘδ ϣ

ϩάϫϢΠΣΪ ϤΘόϳϭˬ ΔϴϟΎϤϟ Ε θ ϨϤϟϲ ϓΔλ ΎΧϭήρΎΨϤϠϟΔμμΨΘϣΕ έΩΎθ ϧϹ˯ϩάϫΕ ΎϴϟϭΆδ ϣϥ ϻˬ ΎϬρΎθ ϧωϮϧϭΔδ γ ΆϤϟ ϢΠΣϰ ϠϋΎϫέϭΩΪ ϳΪ ΤΗϭΕ έΩϹ

ϲ Ϡϳ ΎϤϴϓϡΎϋ Ϟ˳Ϝθ Ακ ΨϠΘΗΕ έΩϹ

1 ΎϬϠϴϠΤΗϭΎϬϔϳήόΗϭήρΎΨϤϟ ωϮϧΪ ϳΪ ΤΘϟΔϣίϼϟ β γ Ϸϊ οϭ2 ΔΤοϭΔϴϟϦϤοΎϬϘϴΛϮΗϭϑ Ϊ ϫϷΪ ϳΪ ΤΗϭΕ ΎϴΠϴΗ ήΘγ Ϲϊ οϭ 3 ΔόϗϮΘϤϟΎϫέΎΛΐ δ ΣΎϬϔϴϨμΗϭήρΎΨϤϠϟΕ ΎϧΎϴΑΓΪ ϋΎϗϊ οϭ 4 Ϛ ϟάΑΔλ ΎΨϟΕ ήΟϹϭήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϠϟΔϣίϼϟςτΨϟϊ οϭ 5 ΎϫέΎΛϦϣΪ ΤϠϟήρΎΨϤϟϰ Ϡϋ ΔΒΗήΘϤϟϞϛΎθ ϤϟέΎΛϵ ΔόΑΎΘ˵ϤϟέήϤΘγ 6 ΎϬϨϣΪ ΤϟϭΎϫέΎΛξ ϴϔΨΘϟΎϬϴϠϋΓήτϴδ ϟ ϭήρΎΨϤϟα ΎϴϗϭΪ ϳΪ ΤΗ

What is the Risk Management process

The Risk Management Process consists of a series of steps that when undertaken in sequence enable continual improvement in decision-makingThe Importance of Risk Management to Business Success

Risk management is an important part of planning for businesses The process of risk management is designed to reduce or eliminate the risk of certain kinds of events happening or having an impact on the business

05012023 11

Steps of the Risk Management Process

Step 1 Communicate and consultStep 2 Establish the contextStep 3 Identify the risksStep 4 Analyze the risksStep 5 Evaluate the risksStep 6 Treat the risksStep 7 Monitor and review

05012023 12

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 13

Summary of risk management steps

05012023 14

1505012023

1605012023

1705012023

1805012023

20

المالية Financial Risksالمخاطر السيولة ومخاطر السوق ومخاطر اإلئتمان مخاطر على وتشتمل

اإلئتمان Credit Riskمخاطرالمقترض قدرة عدم عن الناجمة المحتملة الخسائر هي اإلئتمانية المخاطرسياسية عامة ظروف بسبب المحددة المواعيد في بإلتزاماته الوفاء على

بمخاطر مصرفيا عنها ويعبر نفسه بالمقترض خاصة ظروف أو اقتصادية أو)2004حشاد ( Default Riskالتعثر

يتحمل اإلئتمان مخاطر عن الناجمة الخسائر تخفيض أجل ومن عام بشكلإستراتيجية وإعتماد وضع في المسؤولية العليا واإلدارة البنك إدارة مجلسوالبيئة العملي الواقع مع تتالءم عمل وإجراءات وسياسات التسهيالت منح

المؤهل الكادر وتعيين بإستمرار وتحديثها مراجعتها يتم وأن المصرفية والمراقبة والمتابعة المنح عمليات بتنفيذ القيام على القادر

السوق Market Riskمخاطرالبنك إيرادات على تؤثر أن يمكن التي المستقبلية أو الحالية المخاطر هي

وأسعار الصرف وأسعار الفائدة أسعار في التقلبات عن والناجمة ورأسماله متطلبات الى إضافته تم المخاطر من النوع وهذا والسلع المالية األوراق

العام في المال رأس كفاية اإلحتفاظ 1996معيار البنوك على يتوجب بحيثبأنواعها السوق مخاطر لمواجهة ألقسام برأسمال توضيح يلي وفيما

( السوق (BCBS1996مخاطر

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 11: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

What is the Risk Management process

The Risk Management Process consists of a series of steps that when undertaken in sequence enable continual improvement in decision-makingThe Importance of Risk Management to Business Success

Risk management is an important part of planning for businesses The process of risk management is designed to reduce or eliminate the risk of certain kinds of events happening or having an impact on the business

05012023 11

Steps of the Risk Management Process

Step 1 Communicate and consultStep 2 Establish the contextStep 3 Identify the risksStep 4 Analyze the risksStep 5 Evaluate the risksStep 6 Treat the risksStep 7 Monitor and review

05012023 12

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 13

Summary of risk management steps

05012023 14

1505012023

1605012023

1705012023

1805012023

20

المالية Financial Risksالمخاطر السيولة ومخاطر السوق ومخاطر اإلئتمان مخاطر على وتشتمل

اإلئتمان Credit Riskمخاطرالمقترض قدرة عدم عن الناجمة المحتملة الخسائر هي اإلئتمانية المخاطرسياسية عامة ظروف بسبب المحددة المواعيد في بإلتزاماته الوفاء على

بمخاطر مصرفيا عنها ويعبر نفسه بالمقترض خاصة ظروف أو اقتصادية أو)2004حشاد ( Default Riskالتعثر

يتحمل اإلئتمان مخاطر عن الناجمة الخسائر تخفيض أجل ومن عام بشكلإستراتيجية وإعتماد وضع في المسؤولية العليا واإلدارة البنك إدارة مجلسوالبيئة العملي الواقع مع تتالءم عمل وإجراءات وسياسات التسهيالت منح

المؤهل الكادر وتعيين بإستمرار وتحديثها مراجعتها يتم وأن المصرفية والمراقبة والمتابعة المنح عمليات بتنفيذ القيام على القادر

السوق Market Riskمخاطرالبنك إيرادات على تؤثر أن يمكن التي المستقبلية أو الحالية المخاطر هي

وأسعار الصرف وأسعار الفائدة أسعار في التقلبات عن والناجمة ورأسماله متطلبات الى إضافته تم المخاطر من النوع وهذا والسلع المالية األوراق

العام في المال رأس كفاية اإلحتفاظ 1996معيار البنوك على يتوجب بحيثبأنواعها السوق مخاطر لمواجهة ألقسام برأسمال توضيح يلي وفيما

( السوق (BCBS1996مخاطر

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 12: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

Steps of the Risk Management Process

Step 1 Communicate and consultStep 2 Establish the contextStep 3 Identify the risksStep 4 Analyze the risksStep 5 Evaluate the risksStep 6 Treat the risksStep 7 Monitor and review

05012023 12

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 13

Summary of risk management steps

05012023 14

1505012023

1605012023

1705012023

1805012023

20

المالية Financial Risksالمخاطر السيولة ومخاطر السوق ومخاطر اإلئتمان مخاطر على وتشتمل

اإلئتمان Credit Riskمخاطرالمقترض قدرة عدم عن الناجمة المحتملة الخسائر هي اإلئتمانية المخاطرسياسية عامة ظروف بسبب المحددة المواعيد في بإلتزاماته الوفاء على

بمخاطر مصرفيا عنها ويعبر نفسه بالمقترض خاصة ظروف أو اقتصادية أو)2004حشاد ( Default Riskالتعثر

يتحمل اإلئتمان مخاطر عن الناجمة الخسائر تخفيض أجل ومن عام بشكلإستراتيجية وإعتماد وضع في المسؤولية العليا واإلدارة البنك إدارة مجلسوالبيئة العملي الواقع مع تتالءم عمل وإجراءات وسياسات التسهيالت منح

المؤهل الكادر وتعيين بإستمرار وتحديثها مراجعتها يتم وأن المصرفية والمراقبة والمتابعة المنح عمليات بتنفيذ القيام على القادر

السوق Market Riskمخاطرالبنك إيرادات على تؤثر أن يمكن التي المستقبلية أو الحالية المخاطر هي

وأسعار الصرف وأسعار الفائدة أسعار في التقلبات عن والناجمة ورأسماله متطلبات الى إضافته تم المخاطر من النوع وهذا والسلع المالية األوراق

العام في المال رأس كفاية اإلحتفاظ 1996معيار البنوك على يتوجب بحيثبأنواعها السوق مخاطر لمواجهة ألقسام برأسمال توضيح يلي وفيما

( السوق (BCBS1996مخاطر

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 13: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 13

Summary of risk management steps

05012023 14

1505012023

1605012023

1705012023

1805012023

20

المالية Financial Risksالمخاطر السيولة ومخاطر السوق ومخاطر اإلئتمان مخاطر على وتشتمل

اإلئتمان Credit Riskمخاطرالمقترض قدرة عدم عن الناجمة المحتملة الخسائر هي اإلئتمانية المخاطرسياسية عامة ظروف بسبب المحددة المواعيد في بإلتزاماته الوفاء على

بمخاطر مصرفيا عنها ويعبر نفسه بالمقترض خاصة ظروف أو اقتصادية أو)2004حشاد ( Default Riskالتعثر

يتحمل اإلئتمان مخاطر عن الناجمة الخسائر تخفيض أجل ومن عام بشكلإستراتيجية وإعتماد وضع في المسؤولية العليا واإلدارة البنك إدارة مجلسوالبيئة العملي الواقع مع تتالءم عمل وإجراءات وسياسات التسهيالت منح

المؤهل الكادر وتعيين بإستمرار وتحديثها مراجعتها يتم وأن المصرفية والمراقبة والمتابعة المنح عمليات بتنفيذ القيام على القادر

السوق Market Riskمخاطرالبنك إيرادات على تؤثر أن يمكن التي المستقبلية أو الحالية المخاطر هي

وأسعار الصرف وأسعار الفائدة أسعار في التقلبات عن والناجمة ورأسماله متطلبات الى إضافته تم المخاطر من النوع وهذا والسلع المالية األوراق

العام في المال رأس كفاية اإلحتفاظ 1996معيار البنوك على يتوجب بحيثبأنواعها السوق مخاطر لمواجهة ألقسام برأسمال توضيح يلي وفيما

( السوق (BCBS1996مخاطر

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 14: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

Summary of risk management steps

05012023 14

1505012023

1605012023

1705012023

1805012023

20

المالية Financial Risksالمخاطر السيولة ومخاطر السوق ومخاطر اإلئتمان مخاطر على وتشتمل

اإلئتمان Credit Riskمخاطرالمقترض قدرة عدم عن الناجمة المحتملة الخسائر هي اإلئتمانية المخاطرسياسية عامة ظروف بسبب المحددة المواعيد في بإلتزاماته الوفاء على

بمخاطر مصرفيا عنها ويعبر نفسه بالمقترض خاصة ظروف أو اقتصادية أو)2004حشاد ( Default Riskالتعثر

يتحمل اإلئتمان مخاطر عن الناجمة الخسائر تخفيض أجل ومن عام بشكلإستراتيجية وإعتماد وضع في المسؤولية العليا واإلدارة البنك إدارة مجلسوالبيئة العملي الواقع مع تتالءم عمل وإجراءات وسياسات التسهيالت منح

المؤهل الكادر وتعيين بإستمرار وتحديثها مراجعتها يتم وأن المصرفية والمراقبة والمتابعة المنح عمليات بتنفيذ القيام على القادر

السوق Market Riskمخاطرالبنك إيرادات على تؤثر أن يمكن التي المستقبلية أو الحالية المخاطر هي

وأسعار الصرف وأسعار الفائدة أسعار في التقلبات عن والناجمة ورأسماله متطلبات الى إضافته تم المخاطر من النوع وهذا والسلع المالية األوراق

العام في المال رأس كفاية اإلحتفاظ 1996معيار البنوك على يتوجب بحيثبأنواعها السوق مخاطر لمواجهة ألقسام برأسمال توضيح يلي وفيما

( السوق (BCBS1996مخاطر

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 15: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

1505012023

1605012023

1705012023

1805012023

20

المالية Financial Risksالمخاطر السيولة ومخاطر السوق ومخاطر اإلئتمان مخاطر على وتشتمل

اإلئتمان Credit Riskمخاطرالمقترض قدرة عدم عن الناجمة المحتملة الخسائر هي اإلئتمانية المخاطرسياسية عامة ظروف بسبب المحددة المواعيد في بإلتزاماته الوفاء على

بمخاطر مصرفيا عنها ويعبر نفسه بالمقترض خاصة ظروف أو اقتصادية أو)2004حشاد ( Default Riskالتعثر

يتحمل اإلئتمان مخاطر عن الناجمة الخسائر تخفيض أجل ومن عام بشكلإستراتيجية وإعتماد وضع في المسؤولية العليا واإلدارة البنك إدارة مجلسوالبيئة العملي الواقع مع تتالءم عمل وإجراءات وسياسات التسهيالت منح

المؤهل الكادر وتعيين بإستمرار وتحديثها مراجعتها يتم وأن المصرفية والمراقبة والمتابعة المنح عمليات بتنفيذ القيام على القادر

السوق Market Riskمخاطرالبنك إيرادات على تؤثر أن يمكن التي المستقبلية أو الحالية المخاطر هي

وأسعار الصرف وأسعار الفائدة أسعار في التقلبات عن والناجمة ورأسماله متطلبات الى إضافته تم المخاطر من النوع وهذا والسلع المالية األوراق

العام في المال رأس كفاية اإلحتفاظ 1996معيار البنوك على يتوجب بحيثبأنواعها السوق مخاطر لمواجهة ألقسام برأسمال توضيح يلي وفيما

( السوق (BCBS1996مخاطر

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 16: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

1605012023

1705012023

1805012023

20

المالية Financial Risksالمخاطر السيولة ومخاطر السوق ومخاطر اإلئتمان مخاطر على وتشتمل

اإلئتمان Credit Riskمخاطرالمقترض قدرة عدم عن الناجمة المحتملة الخسائر هي اإلئتمانية المخاطرسياسية عامة ظروف بسبب المحددة المواعيد في بإلتزاماته الوفاء على

بمخاطر مصرفيا عنها ويعبر نفسه بالمقترض خاصة ظروف أو اقتصادية أو)2004حشاد ( Default Riskالتعثر

يتحمل اإلئتمان مخاطر عن الناجمة الخسائر تخفيض أجل ومن عام بشكلإستراتيجية وإعتماد وضع في المسؤولية العليا واإلدارة البنك إدارة مجلسوالبيئة العملي الواقع مع تتالءم عمل وإجراءات وسياسات التسهيالت منح

المؤهل الكادر وتعيين بإستمرار وتحديثها مراجعتها يتم وأن المصرفية والمراقبة والمتابعة المنح عمليات بتنفيذ القيام على القادر

السوق Market Riskمخاطرالبنك إيرادات على تؤثر أن يمكن التي المستقبلية أو الحالية المخاطر هي

وأسعار الصرف وأسعار الفائدة أسعار في التقلبات عن والناجمة ورأسماله متطلبات الى إضافته تم المخاطر من النوع وهذا والسلع المالية األوراق

العام في المال رأس كفاية اإلحتفاظ 1996معيار البنوك على يتوجب بحيثبأنواعها السوق مخاطر لمواجهة ألقسام برأسمال توضيح يلي وفيما

( السوق (BCBS1996مخاطر

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 17: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

1705012023

1805012023

20

المالية Financial Risksالمخاطر السيولة ومخاطر السوق ومخاطر اإلئتمان مخاطر على وتشتمل

اإلئتمان Credit Riskمخاطرالمقترض قدرة عدم عن الناجمة المحتملة الخسائر هي اإلئتمانية المخاطرسياسية عامة ظروف بسبب المحددة المواعيد في بإلتزاماته الوفاء على

بمخاطر مصرفيا عنها ويعبر نفسه بالمقترض خاصة ظروف أو اقتصادية أو)2004حشاد ( Default Riskالتعثر

يتحمل اإلئتمان مخاطر عن الناجمة الخسائر تخفيض أجل ومن عام بشكلإستراتيجية وإعتماد وضع في المسؤولية العليا واإلدارة البنك إدارة مجلسوالبيئة العملي الواقع مع تتالءم عمل وإجراءات وسياسات التسهيالت منح

المؤهل الكادر وتعيين بإستمرار وتحديثها مراجعتها يتم وأن المصرفية والمراقبة والمتابعة المنح عمليات بتنفيذ القيام على القادر

السوق Market Riskمخاطرالبنك إيرادات على تؤثر أن يمكن التي المستقبلية أو الحالية المخاطر هي

وأسعار الصرف وأسعار الفائدة أسعار في التقلبات عن والناجمة ورأسماله متطلبات الى إضافته تم المخاطر من النوع وهذا والسلع المالية األوراق

العام في المال رأس كفاية اإلحتفاظ 1996معيار البنوك على يتوجب بحيثبأنواعها السوق مخاطر لمواجهة ألقسام برأسمال توضيح يلي وفيما

( السوق (BCBS1996مخاطر

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 18: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

1805012023

20

المالية Financial Risksالمخاطر السيولة ومخاطر السوق ومخاطر اإلئتمان مخاطر على وتشتمل

اإلئتمان Credit Riskمخاطرالمقترض قدرة عدم عن الناجمة المحتملة الخسائر هي اإلئتمانية المخاطرسياسية عامة ظروف بسبب المحددة المواعيد في بإلتزاماته الوفاء على

بمخاطر مصرفيا عنها ويعبر نفسه بالمقترض خاصة ظروف أو اقتصادية أو)2004حشاد ( Default Riskالتعثر

يتحمل اإلئتمان مخاطر عن الناجمة الخسائر تخفيض أجل ومن عام بشكلإستراتيجية وإعتماد وضع في المسؤولية العليا واإلدارة البنك إدارة مجلسوالبيئة العملي الواقع مع تتالءم عمل وإجراءات وسياسات التسهيالت منح

المؤهل الكادر وتعيين بإستمرار وتحديثها مراجعتها يتم وأن المصرفية والمراقبة والمتابعة المنح عمليات بتنفيذ القيام على القادر

السوق Market Riskمخاطرالبنك إيرادات على تؤثر أن يمكن التي المستقبلية أو الحالية المخاطر هي

وأسعار الصرف وأسعار الفائدة أسعار في التقلبات عن والناجمة ورأسماله متطلبات الى إضافته تم المخاطر من النوع وهذا والسلع المالية األوراق

العام في المال رأس كفاية اإلحتفاظ 1996معيار البنوك على يتوجب بحيثبأنواعها السوق مخاطر لمواجهة ألقسام برأسمال توضيح يلي وفيما

( السوق (BCBS1996مخاطر

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 19: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

20

المالية Financial Risksالمخاطر السيولة ومخاطر السوق ومخاطر اإلئتمان مخاطر على وتشتمل

اإلئتمان Credit Riskمخاطرالمقترض قدرة عدم عن الناجمة المحتملة الخسائر هي اإلئتمانية المخاطرسياسية عامة ظروف بسبب المحددة المواعيد في بإلتزاماته الوفاء على

بمخاطر مصرفيا عنها ويعبر نفسه بالمقترض خاصة ظروف أو اقتصادية أو)2004حشاد ( Default Riskالتعثر

يتحمل اإلئتمان مخاطر عن الناجمة الخسائر تخفيض أجل ومن عام بشكلإستراتيجية وإعتماد وضع في المسؤولية العليا واإلدارة البنك إدارة مجلسوالبيئة العملي الواقع مع تتالءم عمل وإجراءات وسياسات التسهيالت منح

المؤهل الكادر وتعيين بإستمرار وتحديثها مراجعتها يتم وأن المصرفية والمراقبة والمتابعة المنح عمليات بتنفيذ القيام على القادر

السوق Market Riskمخاطرالبنك إيرادات على تؤثر أن يمكن التي المستقبلية أو الحالية المخاطر هي

وأسعار الصرف وأسعار الفائدة أسعار في التقلبات عن والناجمة ورأسماله متطلبات الى إضافته تم المخاطر من النوع وهذا والسلع المالية األوراق

العام في المال رأس كفاية اإلحتفاظ 1996معيار البنوك على يتوجب بحيثبأنواعها السوق مخاطر لمواجهة ألقسام برأسمال توضيح يلي وفيما

( السوق (BCBS1996مخاطر

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 20: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

21

الفائدة 1ب- أسعار Interest Rate Riskمخاطرتأثير لها يكون قد والتي الفائدة أسعار تقلبات عن الناجمة المخاطر هي

المخاطر هذه تواجه البنوك أن حيث ورأسماله البنك إيرادات على سلبيتنطوي قد الفائدة أسعار مخاطر فإن ولذلك مالي وسيط كونها منطلق من

إدارة البنك من يتطلب الذي األمر ورأسماله البنك ألرباح كبير تهديد علىبالنسبة مقبولة مستويات على المحافظة خالل من الفائدة سعر مخاطر

مواعيد إختالف أهمها الفائدة سعر مخاطر من متعددة أوجها وهناك للبنكفائدة سعر مقابل التسعير وإعادة الثابت الفائدة سعر مقابل اإلستحقاق

الميزانية خارج المالية ومراكزه وخصومه البنك ألصول متغير)BCBS2001(

الصرف 2ب- أسعار Foreign Exchange Rate Riskمخاطرالنقد تبادل عمليات بتنفيذ قيامه أثناء البنك يواجهها التي المخاطر هي

بشكل التبادل عملية تتم لم إذا كبيرة لخسائر يتعرض قد أنه حيث األجنبي العمالت صرف أسعار تقلبات نتيجة خسائر البنك يتحمل قد ولذلك سليمالمحلية بالعملة مأخوذة مراكز تقييم إعادة من الخسارة إحتمالية وتتمثل المخاطر أشكال أحد الصرف أسعار مخاطر وتعتبر أجنبية عمالت مقابل

والسيولة اإلئتمان مخاطر مثل متعددة مخاطر تتضمن التي)BCBS2001(

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 21: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

22

والسلع 3ب- المالية األوراق أسعار Price Riskمخاطراألسعار في التقلبات بسبب لخسائر البنك تعرض إحتمالية مخاطر هي

بإعداد البنوك تقوم أن يجب لذلك والبضائع واألسهم للسندات السوقيةهذه تعكس وأن األنشطة هذه مع التعامل تحكم محددة سياسات وإعتماد

عن تنشأ قد التي المختلفة للمخاطر البنك قبول مستوى السياساتأجل من األهمية غاية في السعر مخاطر قياس ويعتبر واإلستثمار المتاجرة

كبير بشكل تؤثر ال الخسائر هذه أن من والتأكد المحتملة الخسائر إدراك المال رأس على

السيولة Liquidity Riskمخاطرعلى البنك مقدرة عدم نتيجة خسائر تحقيق الى تؤدي قد التي المخاطر هي

توفير على البنك قدرة عدم بسبب اإلستحقاق تاريخ في بإلتزاماته الوفاءخسائر بأقل اإللتزامات هذه لمقابلة السائلة األصول أو الالزم التمويل

غاية) BCBS1996ممكنة ( في أمرا البنوك في السيولة إدارة وتعتبرعلى المحافظة في الفشل ألن عالية مخاطر على وينطوي األهمية

مالية كمؤسسة وفشله البنك انهيار الى يؤدي قد مالئمة سيولة مستويات

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 22: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

23

Business Risks مخاطر األعمال Strategic Riskالمخاطر اإلستراتيجية

هي المخاطر الناجمة عن إتخاذ إدارة البنك قرارات خاطئة أو تنفيذ القرارات بشكل خاطئ أو عدم إتخاذ القرار في الوقت المناسب األمر

الذي قد يؤدي الى إلحاق خسائر أو ضياع فرص بديلةLegal amp Regulatory Risksب-المخاطر القانونية والتنظيمية

ن واإلرشادات ة عدم اإللتزام بالقوانير نتيجى هذه المخاطتتجل Legalوالتعليمات المنظمة للعمل المصرفي وتنشأ المخاطر القانونية (

Risks ي) عن عدم التزام البنك بالقوانين المنظمة للعمل في الدولة الت) Regulatory Riskيعمل بها البنك في حين تنشأ المخاطر التنظيمية (

عن مخالفة البنك القوانين والمعايير الصادرة عن السلطات الرقابية ن لجنة بازل للرقابة المصرفية قد صنفت المخاطر وتجدر اإلشارة أ

ق إتفاق بازل ة وفر التشغيلين المخاطة ضمة والتنظيمي IIالقانوني)2005(حشاد

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 23: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

24

السمعة- مخاطر Reputation Riskجعنها ينتج والتي المؤثرة السلبية العامة اآلراء عن السمعة مخاطر تنتج

قبل من تمارس التي األفعال تتضمن حيث األموال أو للعمالء كبيرة خسائروأدائه المصرف عن سلبية صورة تعكس والتي موظفيه أو البنك إدارةإشاعات ترويج عن تنجم أنها كما األخرى والجهات عمالئه مع وعالقاته

ونشاطه البنك عن سلبيةفي البنك نجاح لعدم طبيعية نتيجة تكون السمعة مخاطر فإن عام وبشكل

البنك يواجهها التي األخرى المصرفية المخاطر أنواع كل أو أحد إدارةيتسبب مما منتجاته أو البنك أنظمة كفاءة عدم حالة في تنشأ قد وكذلك

سواء األمنية باإلحتياطات اإلخالل يتسبب حيث واسعة سلبية أفعال بردودثقة إنتزاع في البنك نظام على الخارجية أو الداخلية اإلعتداءات بسبب

عدم حال في السمعة مخاطر تبرز كما البنك عمليات سالمة في العمالءعن كافية بيانات إعطائهم عدم أو التوقعات حسب للعمالء الخدمات تقديم

المشاكل حل خطوات أو المنتج استخدام )2005حشاد( كيفية

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 24: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

25

التشغيلية Operational Risksالمخاطرتقديمه تم المصرفية الساحة على حديثا موضوعا التشغيلية المخاطر تعتبر

بازل إتفاقية إطار في المصرفية للرقابة بازل لجنة قبل الرغم IIمن وعلى النشاط قيام منذ قائم الواقع في المخاطر من الصنف هذا أن من

رأسمالية متطلبات ووضع به واإلهتمام إبرازه أمر أن إال المصرفياألولى المراحل في يزال وال حديثا أمرا يعتبر له والتحوط لمواجهته

أن إال السابق في وواضحة بارزة تكن لم السلبية آثاره لكون نظرا للتطبيقأزمة ( مثل الدول من بالعديد عصفت التي المتتالية المصرفية األزمات

العام نهاية في آسيا 1994المكسيك جنوبشرق دول في المالية واألزماتالعام ) 1997في إنهيار إلى أدت والتي واألرجنتين وتركيا وروسيا والبرازيل

هددت وبالتالي الدول هذه إلقتصاديات جسيمة خسائر وألحقت كبيرة بنوكوالمنظمات الرقابية والسلطات بالبنوك أدت عام بشكل المالي اإلستقرار

الى المالي باإلستقرار المعنية الدولية األسباب والهيئات عن البحثهذه أسباب أهم أن إلى خلصت والتي األزمات هذه وراء الفعليةالرقابة أنظمة وضعف الحوكمة في الواضح الضعف هو األزمات

إدارة في الواضع والضعف الحكومية الجهات ورقابة الداخليةخاص بشكل التشغيلية والمخاطر عام بشكل المخاطر

النشاطات في المتسارع التطور أن إلى اإلشارة وتجدرووسائل التكنولوجيا على اإلعتماد وتزايد المصرفية والخدمات

اإلليكترونية ) المصرفية والخدمات الحديثة -EاإلتصالBanking )خارجية جهات على البنوك اعتماد تزايد باإلضافة

الخارجي باإلسناد والمتمثل الخدمات بعض توفير في(Outsourcing )المخاطر أهمية تزايد إلى أدى الذي األمر

نفس التشغيلية وفي المخاطر إدارة محاور من أساسيا محورا وأصبحتالرقابية والسلطات الدولية الهيئات قبل من بها اإلهتمام تزايد الوقت

المصرفية والمؤسسات

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 25: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

المخاطر إدارة عملية خطواتنطاق التخطيط خريطة ورسم المخاطر إدارة لعملية

وكذلك عليها سيعتمد الذي والمعايير واألساس العمل للتحليل وأجندة للعملية إطار تعريف

وتحديدها المخاطر على التعرف المخاطر تحليل المخاطر وصف المخاطر تقدير المخاطر تقييم واالتصاالت المخاطر تقارير إعداد المخاطر معالجة المخاطر إدارة عمليات ومراجعة مراقبة

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 26: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

المخاطر إدارة خطواتالخطوات

ال نعم

تعريف المخاطر

تحليل المخاطر

المخاطر تقييم الخطر تأثير درجة تحديد حدوث احتمال درجة تحديد

رالخط

بالمخاطر التحكمومعالجتها

تمهل

م حك

التح

جابن

عةتاب

لموا

بةاق

مرال

ة ري

دوال

التخطيط

وتقدير وصفالمخاطر

المخاطر تقارير إعدادواالتصاالت

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 27: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 28

ΔϴϟΎΘϟϕ ήτϟϦϣήΜϛϭΓΪ ΣϭωΎΒΗΈΑΎϬϴϠϋ ϑ AumlήόΘϟϢΘϳϭήρΎΨϤϟΩ centΪ ΤΗϭ

1 ν ήΘόΗΪ ϗϲ Θϟ Ε ΎόϗϮΘϟϭΙ Ϊ ΣϷήϳΪ ϘΗϢΘϳΚ ϴΤΑϑ Ϊ ϫϷϰ ϠϋΩΎϤΘϋϹ

ΎϬϔϳήόΗϭϑ Ϊ ϫϷϩάϫΡΎΠϧϞϴΒγ2 ϑ ή˵όϳ ΎϣϮϫϭϑ Ϊ ϫϷϖϴϘΤΘϟΔϠϤΘΤϤϟϕ ήτϟϦϣΩ˳Ϊ ϋ ϊ οϭ

ΔΒΗήΘϤϟΕ ΎϗϮόϤϟϊ Auml˰ϗϮΗϭΎϬϨϣΔϘϳήρ Ϟϛ ϞϴϠΤΗcentϢΛϦϣϭ (Ε ΎϫϮϳέΎϨϴδ ϟΎΑ)ΎϫΪ ϳΪ ΤΗϭΎϬϔϳήόΗcentϢΛϦϣϭΎϬϴϠϋ

3 ήρΎΨϣϭΔϴγ Ύϴδ ϟήρΎΨϤϟΎϛ ϡΎόϟϒϴϨμΘϟϖϳήρ Ϧϋ ήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϩήρΎΨϣΪ ϳΪ ΤΗϭωϮϧϞϛ ϞϴϠΤΗcentϢΛϦϣϭΦϟΔϳέΩϹήρΎΨϤϟϭϕ Ϯδ ϟ

4 ΔϬΑΎθ Ϥ˵ϟϊ ϳέΎθ Ϥϟϲ ϓΔόΎθ ϟήρΎΨϤϟΔόΟήϣ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 28: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 29

ϰ ϠϋήρΎΨϤϟ έΎΛϦϣΪ Τϟ ϲ ϓΓήϴΒϛΔϴϟϭΆδ ϣήρΎΨϤϟ ΓέΩϰ Ϡϋϊ ϘΗϒ ϗϮΗϰ ϟϱ ΩΆϳΪ ϗΔΠϟΎόϣϥϭΩήρΎΨϤϟ ϙήΗϥ Κ ϴΣ Δˬϛήθ ϟ ωϭήθ Ϥϟ

ϦϜϤϳ ΔτΧ Ϊ ΟϮΗϻ ϪϧΈϓ˱ΎϘΑΎγ Ε ήη ΎϤϛϭ ΎˬϫέΎϴϬϧϭϞϤόϟϦϋ Δϛήθ ϟωϭήθ ϤϟΕ ήΟϹ ϊ οϭϭϢϴϠδ ϟ ςϴτΨΘϟϥϻˬ Ι ϭΪ Τϟ ϭωϮϗϮϟϦϣήρΎΨϤϟ ϊ ϨϤΗϥ ΎϬϟ˯

ΓέΩϭˬ έΎΛϵϩάϫϦϣΪ ϴϛ ΘϟΎΑΪ Τϴγ ΔΒγ ΎϨϤϟ Ε ΎϗϭϷϲ ϓΔΠϟΎόϤϠϟΔΤϴΤμϟϝˬΎϤϋϷΔϳέήϤΘγ ϞϔϜϳϱ άϟ ςϴτΨΘϟΔϴϠϤϋϲ ϓϲ γ Ύγ Ϸ Ϧϛήϟϲ ϫήρΎΨϤϟ

ϲ ϠϳΎϣΎϬϘΗΎϋϰ Ϡϋϊ Ϙϳϲ ϟΎΘϟΎΑϭ

1 Δϛήθ ϟωϭήθ Ϥϟϝ Ϯλ ϰ Ϡϋ ΔψϓΎΤϤϟϲ ϓΔϟΎ centόϔϟΔϤϫΎδ Ϥϟ 2 ΎϬϴϠϋΓήτϴδ ϟϭήρΎΨϤϟϊ ϗϮΘϟΔϣίϼϟ ΔΑΎϗήϟϡΎϜΣϹΔϣίϼϟ ςτΨϟϊ οϭ 3 ΎϫέΎΛϞϴϠϘΘϟήρΎΨϤϟ ΔΠϟΎόϤϟϝ ϮϠΤϟ ΡήΘϗ 4 ΎϬΘΠϟΎόϣϭήρΎΨϤϟϦϣΪ ΤϠϟΔϣίϼϟ Ε Ύγ έΪ ϟϊ οϭϭΔόΑΎΘϤϟ έήϤΘγ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 29: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 30

ϪϧΈϓϚϟάϟˬϖϗΪ Ϥϟ Ε ΎϣΎϤΘϫϦϣϲ ϫΔϛήθ ϟ ωϭήθ ϤϟΔϳέήϤΘγ Ζ ϧΎϛ Ύ centϤϟϭ

ΔψϓΎΤϤϠϟΎϫΫΎΨΗϢΘϳϲ Θϟ ϭήρΎΨϤϟΓέΩςτΧϭΕ ήΟϰ ϠϋωϼρϹ ϪϨϣΐ ϠτΘϳΩ˴˴έ˴ϭ Ϊ ϗϭ ΔˬϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟ Ζˬ ϗϮϟβ ϔϧϲ ϓϭ Δˬϛήθ ϟΔϳέήϤΘγ ϰ Ϡϋ

ΓήϘϔϟϲ ϓ108έΎϴόϣϦϣ315 ϲ ϠϳΎϣ ldquoΓήϘϔϟ ϲ ϓΔϨϴΒϣϲ ϫΎϤϛήρΎΨϤϟ ϢϴϴϘΗϦϣ ΰΠϛ˯100ϱ Ω˶˷Ϊ Τϳ ϥϖϗΪ Ϥϟϰ Ϡϋ

Ε έΎΒΘϋ ΐ ϠτΘΗήρΎΨϣϖϗΪ ϤϟϢϜΣ ΐ δ Σ ϲ ϫ ΎϫΪ ϳΪ ΤΗ centϢΗϲ ΘϟήρΎΨϤϟϦϣΔϣΎϬϟήρΎΨϤϟΎϬϧΑϑ ήόΗήρΎΨϤϟ ϩάϫϥ Δλ ΎΧϖϴϗΪ Ηrdquo

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 30: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

Risk Categorization ndash Approach 1bull Project risks

ndash They threaten the project planndash If they become real it is likely that the project schedule will slip and that

costs will increasebull Technical risks

ndash They threaten the quality and timeliness of the software to be producedndash If they become real implementation may become difficult or impossible

bull Business risks ndash They threaten the viability of the software to be builtndash If they become real they jeopardize the project or the product

(More on next slide)05012023 31

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 31: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

Risk Categorization ndash Approach 1 (continued)

bull Sub-categories of Business risks ndash Market risk ndash building an excellent product or system that no one really

wantsndash Strategic risk ndash building a product that no longer fits into the overall

business strategy for the companyndash Sales risk ndash building a product that the sales force doesnt understand how

to sellndash Management risk ndash losing the support of senior management due to a

change in focus or a change in peoplendash Budget risk ndash losing budgetary or personnel commitment

05012023 32

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 32: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

Risk Categorization ndash Approach 2bull Known risks

ndash Those risks that can be uncovered after careful evaluation of the project plan the business and technical environment in which the project is being developed and other reliable information sources (eg unrealistic delivery date)

bull Predictable risksndash Those risks that are extrapolated from past project experience (eg past

turnover)bull Unpredictable risks

ndash Those risks that can and do occur but are extremely difficult to identify in advance

05012023 33

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 33: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

Steps for Risk Management1) Identify possible risks recognize what can go wrong2) Analyze each risk to estimate the probability that it will occur and

the impact (ie damage) that it will do if it does occur3) Rank the risks by probability and impact

- Impact may be negligible marginal critical and catastrophic4) Develop a contingency plan to manage those risks having high

probability and high impact

05012023 34

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 34: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 35

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 35: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 36

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 36: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 37

ήρΎΨϤϟϢϴϴϘΗ

ΓΪ ϋΎϗϲ ϓΎϬΟέΩϭΎϬϴϠϋ ϑ AumlήόΘϟϭΔόϗϮΘϤϟήρΎΨϤϟΪ ϳΪ ΤΗΔϴϠϤϋ ϢΘΗΎϣΪ ϨϋϥϮϜϳΎϣΓΩΎϋϭˬΎϬϤϴϴϘΗϭΎϬϠϴϠΤΗΕ ήΟΈΑϡϮϘΗϥ ήρΎΨϤϟΓέΩϰ ϠϋϥΈϓˬΕ ΎϧΎϴΒϟ

ΔΒδ ϧϭΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΙ Ϊ Σϲ ϓΞΗΎϨϟ ήΛϷΔϤϴϗα Ύγ ϰ ϠϋϢϴϴϘΘϟΔϴΎμΣϹΕ ΎϣϮϠόϤϟϰ Ϡϋ ΩΎϤΘϋϹΓΩΎϋ ϢΘϳ ϪϧΈϓν ήϐϟάϬϟϭ ΎˬϬϟν AumlήόΘϟ

ϲ ϓΎϬϴϠϋ ΎϨΒϟϦϜϤϳΔϴ ΎμΣΕ ΎϧΎϴΑΓΪ ϋΎϗϰ ϟϝ Ϯλ ϮϠϟΔϘΑΎδ ϟ Ι ΩϮΤϟΎΑΔϘϠόΘϤϟ˯ Ε ϻΎϤΘΣϭΐ δ ϧϰ ϟήρΎΨϤϟ ϩάϫϢϴϴϘΗ

ϲ Ϡϳ Ύϣϰ ϟ ήΛϷΚ ϴΣ ϦϣήρΎΨϤϟϢ centϴϘΗϭ

1 ήΎδ ΧΎϬϨϋΞΘϨϳϭΓήϴΒϛΎϫέΎΛ ϥϮϜΗϲ Θϟ ήρΎΨϤϟϲ ϫϭ ήΛϷΓΪ ϳΪ η ήρΎΨϣέΎϴϬϧϹϰ ϟ ϱ ΩΆϳ Ϊ ϗΎϤϣϞAumlϤΤΘϟϰ Ϡϋ ωϭήθ ϤϟΓέΪ ϗϕ ϮϔΗΪ ϗΓήϴΒϛ

2 ήΛϷΔτγ ϮΘϣήρΎΨϣ 3 ήΛϷΔϠϴϠϗήρΎΨϣ

ϪϋϮϗϭΪ ϨϋϩέΎΛ ϢϴϴϘΗϭήτΨϟ ωϮϗϭΔϴϟΎϤΘΣϰ ϠϋϒϴϨμΘϟ άϫϖΒτϨϳϭ

Κ ϴΣ Ϧϣ˯Ϯγ ˬ˱ΎϴϤϛ ΎϫέΎΛα ΎϴϘΑϚϟΫϭΔϴϤϜϟΔϴΣΎϨϟϦϣΎ˱π ϳήρΎΨϤϟϢ centϴϘΗϭάϫΕ ΎμΣϭΕ Ύϴοήϓϰ ϠϋϚ ϟΫΪ ϤΘόϳϭˬ ΎϬϴϠϋΔΒΗήΘϤϟ ήΎδ ΨϟϢΠΣϭ ΎϬΛϭΪ ΣΔΒδ ϧ˯

ϲ ϓΐ ϴϟΎγ Ϸ ϩάϫϡΪ ΨΘδ ΗΎϣΓΩΎϋϭˬ Ε ΎόϗϮΘϟ ΎϬϴϠϋϰ ϨΒΗΔϴΨϳέΎΗΔϴϤϗέ ΎϫήϴϏϦϣήΜϛ ϦϴϣΘϟΕ Ύϛήη ϭϙϮϨΒϟΎϛΔϴϟΎϤϟ Ε Ύδ γ ΆϤϟ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 37: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 38

المشروع في المخاطر وإدارة تحليل

ndash المخاطرةndash بتنفيذها نقوم التي العملية مخرجات توقع عدم نتيجة خطير شئ حدوث إمكانية هي

التأكدية عدم UNCERTAINTY بسبب التأكدية عدم ويرجع التنفيذ قيد بالعملية المحيطة صنف وقد التنفيذ مراحل خالل تغيرها وحدة للعملية المدخلة المتغيرات تعدد إلي

التغير حاد طابع وذات المتغيرات متعددة بأنها التشييد صناعة عملية والعلماء الباحثين تنفيذها مراحل خالل والتذبذب

المخاطر بإدارة يسمي ما خالل من المخاطر دراسة أهمية تظهر هنا ومنndash RISK MANAGEMENT

ndash كالتالي وهي ومراحلها المخاطر إدارة بتعريف نقوم ان أوال يجب فعالية أكثر ولنكونوتوثيق- المشروع على للتأثير احتماال اكثر المخاطر أي تحديد المخاطر تحديد

المخاطر هذه خواصومخرجاته- المشروع مع وتفاعلها المخاطر تقييم المخاطر قياس

المخاطر- هذه لرد االستجابة لتجهيز تعزيزيه خطوات تحديد االستجابات تطويرالمشروع- فترة مدى على المخاطر في للتغيرات االستجابة المخاطر رد في التحكم

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 38: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 39

RISK RESPONSE PLANNING

bull Each major risk (those falling in the Red amp Yellow zones) will be assigned to a project team member for monitoring purposes to ensure that the risk will not ldquofall through the cracksrdquo

bull For each major risk one of the following approaches will be selected to address it Avoid ndash eliminate the threat by eliminating the cause Mitigate ndash Identify ways to reduce the probability or the impact of the risk Accept ndash Nothing will be done Transfer ndash Make another party responsible for the risk (buy insurance outsourcing

etc)

bull For each risk that will be mitigated the project team will identify ways to prevent the risk from occurring or reduce its impact or probability of occurring This may include prototyping adding tasks to the project schedule adding resources etc

bull For each major risk that is to be mitigated or that is accepted a course of action will be outlined for the event that the risk does materialize in order to minimize its impact

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 39: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 40

ήρΎΨϤϟϊ ϣϞϣ˵ΎόΘϟ

ϝΎϤΘΣϭΎϫέΎΛα ΎϴϗϭΎϬϤϴϴϘΗϭήρΎΨϤϟϰ Ϡϋ ϑ AumlήόΘϟϲ ϫ ϰ ϟϭϷΓϮτΨϟΖ ϧΎϛ Ύ centϤϟϩέΎΛϦϣΪ Τϟ ϭΎϬϋϮϗϭϊ ϨϤϟΎϬΘϬΟ ϮϤϟςϴτΨΘϟϲ ϫΔϴϟΎΘϟ ΓϮτΨϟϥΈϓˬΎϬϋϮϗϭ

Δδ γ ΆϤϟΔϳέήϤΘγ ϰ ϠϋΎϫήτΧ έΪ ϟϝ ϮΒϘϤϟΪ Τϟϰ ϟ

έΎθ Ϥ˵ϟϑ Ϊ ϬϟϖϴϘΤΘϟΏϮϠγ ϦϣήΜϛ ΑϭΔϴϟΎΘϟΐ ϴϟΎγ ϷϦϣΪ ΣϮΑΓέΩϹϡϮϘΗ Ϫϴϟ

1 ήρΎΨϤϟΐ ϨΠΗϲ ϓϝ ϮΧΪ ϟ ϡΪ όΑΓέ ΩϹϞΒϗϦϣέ ήϘϟΫΎΨΗΈΑϥϮϜΗϭ

ϞϴΒγ ϰ Ϡϋέ ήϘϟϥϮϜϳϥ ϛˬ ΓήϴΒϛήρΎΨϣΎϬϟϥ Ϊ ϘΘόΗϲ Θϟ Ε ΎρΎθ ϨϟΔϴϟϭΆδ Ϥϟϰ ϟ ν AumlήόΘϟϡΪ όϟΎ˱ΒϨΠΗϞϤϋ ϭρΎθ ϧϲ ϓϝ ϮΧΪ ϟϡΪ όΑϝΎΜϤϟ

ήρΎΨϤϟΔδ γ ΆϤϟϭωϭήθ Ϥϟΐ ϨΠϳϥΎϛϥϭΏϮϠγ Ϸ άϫϥϻˬ ΔϴϧϮϧΎϘϟΎϬϴϓϝ ϮΧΪ ϟϝΎΣϲ ϓΎϬϴϠϋΩϮόΗΪ ϗϲ Θϟ Ϊ ϮϔϟϦϣΎϬϣήΤϳϪϧ ϻˬ ΔόϗϮΘϤϟ

2 ΓήρΎΨϤϟϞϘϧν AumlήόΘϟϦϋ ΞΘϨΗΪ ϗϲ ΘϟΓέΎδ ΨϟέΎΛϞϴϠϘΘϟΏϮϠγ Ϯϫϭέ˶˷ήϘϳ Κ ϴΣ ήˬρΎΨϤϟϩάϫ Ϊ ο ϦϴϣΘϟϖϳήρ Ϧϋ ϚϟΫϥϮϜϳ ΎϣΓΩΎϋϭ ΓˬήρΎΨϤϠϟ

ϦcentϣΆϳ ϲ ΘϟϚϠΗϭΎϫέΎΛϞAumlϤΤΗϲ ϓΐ Ϗήϳ ϲ ΘϟέΎτΧϷΔϛήθ ϟήϤΜΘδ ϤϟϞϘϧΐ ϴϟΎγ Ϊ ΣΩϮϘόϟήΒΘόΗϭ άϫ ϦˬϴϣΘϟΔϛήη ϰ ϟΎϫήρΎΨϣϞϘϨϟΎϫΪ οϰ ϟϞϤόϟ ϰ ϠϋΔΒΗήΘϤϟ ήρΎΨϤϟϞϘϧϰ ϠϋΎϬϴϓκ Ϩϟ ϢΘϳΪ ϗΚ ϴΣ ήˬρΎΨϤϟ

ϦϴϣΎΘϟΎΑϡΰΘϟϹϥϭΩϯ ήΧ Ε ΎϬΟ 3 ήρΎΨϤϟήΛϞϴϠϘΗϥ ϛˬ ήρΎΨϤϟ ήΛϦϣϞϴϠϘΘϟ ΏϮϠγ Ε έΩϹξ όΑϊ ΒΘΗ

ήΛϊ ϳίϮΘϟϦϳήΧϵ ϊ ϣΕ ΎϛέΎθ ϣϲ ϓϞΧΪ ΘϓˬέΎϤΜΘγ Ϲ Ϧϣ ΰΠΑϲ ϔΘϜΗΎˬϬϣΎϣΡΎΘ˵ϤϟέΎϤΜΘγ ϹϢΠΣ Κ ϴΣ ϦϣϞϗέΎϤΜΘγ ΈΑ˯ΎϔΘϛϹϭ ΓˬήρΎΨϤϟ

ΎϬϣϮμΧϭΎϬϟϮλ ΓέΩϲ ϓϙϮϨΒϟ ϪόΒΘΗΎϣϚ ϟΫϰ ϠϋΔϠΜϣϷ Ϧϣϭ 4 ϝ ϮΒϘϟΎϬϴϓϥϮϜΗϲ Θϟ ϭΓήϴϐμϟήρΎΨϤϟΔϠΑΎϘϣΪ ϨϋΏϮϠγ Ϸ άϫωΎΒΗϢΘϳ

ΎϬΑϝ ϮΒϘϟϰ ϠϋΔΒΗήΘϤϟ ήΎδ ΨϟΔϔϠϛϦϣϰ Ϡϋ ϯ ήΧΔϬΟϰ ϟΎϬϠϘϧΔϔϠϛ

Ε ΎϧΎϴΒϟ ϭΓέΩϹΕ ήϳΪ ϘΗϰ Ϡϋ ήΟϹϭέήϗΫΎΨΗϹΩΎϤΘϋϹ ϢΘϳΎϣΓΩΎϋϭ˯έΎΛϵΪ ϳΪ ΤΗϲ ϓΪ ϋΎδ Ηϲ Θϟ ϭΕ ΎϣϮϠόϤϟΓΪ ϋΎϗϲ ϓΓήϓϮΘϤϟ ΔϴΨϳέΎΘϟ

ήΎδ Ψϟϩάϫϰ ϠϋΔΒΗήΘϤϟ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 40: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

Definition of Riskbull A risk is a potential problem ndash it might happen and it might notbull Conceptual definition of risk

ndash Risk concerns future happeningsndash Risk involves change in mind opinion actions places etcndash Risk involves choice and the uncertainty that choice entails

bull Two characteristics of riskndash Uncertainty ndash the risk may or may not happen that is there are no 100

risks (those instead are called constraints)ndash Loss ndash the risk becomes a reality and unwanted consequences or losses

occur

05012023 41

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 41: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 42

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 42: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

Contents of a Risk Tablebull A risk table provides a project manager with a simple technique for

risk projectionbull It consists of five columns

ndash Risk Summary ndash short description of the riskndash Risk Category ndash one of seven risk categories (slide 12)ndash Probability ndash estimation of risk occurrence based on group inputndash Impact ndash (1) catastrophic (2) critical (3) marginal (4) negligiblendash RMMM ndash Pointer to a paragraph in the Risk Mitigation Monitoring and

Management Plan

Risk Summary Risk Category Probability Impact (1-4) RMMM

(More on next slide)05012023 43

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 43: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

Developing a Risk Table

bull List all risks in the first column (by way of the help of the risk item checklists)

bull Mark the category of each riskbull Estimate the probability of each risk occurringbull Assess the impact of each risk based on an averaging of the four risk

components to determine an overall impact value (See next slide)bull Sort the rows by probability and impact in descending orderbull Draw a horizontal cutoff line in the table that indicates the risks that

will be given further attention

05012023 44

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 44: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 45

111 Qualitative Risk Analysis The probability and impact of occurrence for each identified risk will be assessed by the project manager with input from the project team using the following approach Probability High ndash Greater than lt70gt probability of occurrence Medium ndash Between lt30gt and lt70gt probability of occurrence Low ndash Below lt30gt probability of occurrence Impact High ndash Risk that has the potential to greatly impact project cost

project schedule or performance Medium ndash Risk that has the potential to slightly impact project

cost project schedule or performance Low ndash Risk that has relatively little impact on cost schedule or

performance Risks that fall within the RED and YELLOW zones will have risk response planning which may include both a risk mitigation and a risk contingency plan

112 Quantitative Risk Analysis Analysis of risk events that have been prioritized using the qualitative risk analysis process and their affect on project activities will be estimated a numerical rating applied to each risk based on this analysis and then documented in this section of the risk management plan

Impa

ct H

M L L M H

Probability

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 45: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 46

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 46: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 47

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 47: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 48

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 48: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 49

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 49: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 50

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 50: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 51

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 51: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 52

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 52: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 53

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 53: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 54

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 54: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 55

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 55: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 56

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 56: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 57

المعلومات امنأنه العلم الذي يعرف أمن المعلومات من زاوية أكاديمية

يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة االعتداء عليها أما من زاوية

فيعرف أمن المعلومات أنه عبارة عن الوسائل تقنيةواألدوات واإلجراءات الالزم توفيرها لضمان حماية

ومن زاوية المعلومات من األخطار الداخلية والخارجية قانونية يعرف أمن المعلومات بأنه محل دراسات وتدابير حماية

سرية وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء عليها أو استغالل نظمها في ارتكاب الجريمة

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 57: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 58

ήρΎΨϤϟΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖ ϴϗΪ ΘϟέϭΩ

ϯˬ ήΧϰ ϟΔϛήη ϦϣήρΎΨϤϟ ΓέΩϭΔΠϟΎόϣϲ ϓϲ ϠΧ Ϊ ϟϖϴϗΪ ΘϟΓέΩέϭΩϒϠΘΨϳ ϲ ϠϳΎϣϊ ϴϤΟϭ ξ όΑϰ Ϡϋϱ ϮΘΤϳϪϧ ϻ

1 ΎϬϔϴλ ϮΗ centϢΗΎϤϛ Δϴδ ϴήϟϭΔϣΎϬϟήρΎΨϤϟϰ Ϡϋ ϲ ϠΧΪ ϟϖϴϗΪ ΘϟϞϤϋ ΰϴϛήΗ

ϞΧΩήτΨϟΓέΩ ΔϴϠϤϋ ϖϴϗΪ ΗϭΔόΑΎΘϣ centϢΛϦϣϭ ΓˬέΩϹϞΒϗϦϣΎϫΪ ϳΪ ΤΗϭΔδ γ ΆϤϟ

2 ήτΨϟΓέΩΔϴϠϤόϟΪ ϴϛ Θϟ ϭΔϘΜϟήϴϓϮΗ 3 ήτΨϟΓέΩ ΔϴϠϤόϟϝ Ύ centόϓϢϋΩήϴϓϮΗ 4 ϦϴϔυϮϤϠϟϢϴϠόΘϟ ϭΔϓήόϤϟήϴϓϮΗϭϩΪ ϳΪ ΤΗϭϪϔϳήόΗϭήτΨϟ ϒϴλ ϮΗϞϴϬδ Η

ΓΩϮΟϮϤϟήρΎΨϤϟΎΑ 5 ϖϴϗΪ ΘϟΔϨΠϟϭΓέ ΩϹβ ϠΠϣϰ ϟήϳέΎϘΘϟ ϢϳΪ ϘΗϲ ϓϖϴδ ϨΘϟ

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ

ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 58: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 59

ΔϳΩΗέ ήϤΘγ ϦϣΪ ϛ ΘΗϥ ϖϴϗΪ ΘϟΓέΩϰ ϠϋϥΈϓˬΎϬϠϤϋ ΎϨΛϭι ϮμΨϟ άϫϲ ϓϭ˯ ϩϼϋΎϬϴϟ έΎθ Ϥ˵ϟϑ Ϊ ϫϷΎϬϠϤϋ ΞΎΘϨϟήϓϮΘϟΔϴϟϼϘΘγ ϭΔϴϨϬϤΑΎϬϠϤϋ

ήρΎΨϤϟϦϣΔϴϟΎΧΔϟΎΣϖϴϘΤΗΔΟέΩϰ ϟϞμϧϥ ϦϜϤϤϟϦϣβ ϴϟϪϧΈϓˬΔΠϴΘϨϟΎΑϭ

ϲ ΎϬϨϟέήϘϟϮϫΓήρΎΨϤϟ Ϧϣϝ ϮϘόϣϯ ϮΘδ ϤΑϝ ϮΒϘϟ ϥϭˬΔϴϠϤόϟΔϴΣΎϨϟϦϣήρΎΨϤϟΞΎΘϧϦϴΑΔϧέΎϘϤϟ ϲ ϓκ ΨϠΘϳΓΩΎϋϮϫϭˬϩήϳήϘΗΓέ ΩϹϰ Ϡϋΐ Πϳϱ άϟ

ϻˬ ΓήΧ ΘϣΔΠϴΘϨϟ ϩάϫΔϓήόϣϲ ΗΗΎϣΓΩΎϋϭˬΎϬΘΠϟΎόϣϰ ϠϋϞϤόϟ ϒϠϛϭΔϠϤΘΤϤϟ ΔόϗϮΘϤϟήρΎΨϤϟΔΠϟΎόϤϟΓέ ΩϺϟΔϣΎϫΕ ΎϧΎϴΑΓΪ ϋΎϗήϓϮΗΎϬϧ

ΔϣίϼϟΓΩϷϥϮϜϳΪ ϗΔϴϠΧ Ϊ ϟΔΑΎϗήϟϡΎψϧϥ ΑΔϳΎϬϨϟ ϲ ϓκ ϠΨϧϥ ϊ ϴτΘδ ϧϭ

ϰ Ϡϋ ήρΎΨϤϟέΎΛϦϣΪ Τϟϲ ϓϝ Ω˵ΎόΘϟΔτϘϧϰ ϟ ϝ Ϯλ ϮϠϟϕ ήτϟϞπ ϓήϴϓϮΘϟ ΎϬΘϳέήϤΘγ Ϲ Ύ˱ϧΎϤο Δδ γ ΆϤϟ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 59: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 60

استراتيجية أمن المعلومات تعرف استراتيجية أمن المعلومات أو سياسة أمن

-مجموعة القواعد التي المعلومات بأنها يطبقها األشخاص لدى التعامل مع التقنية

داخل المنشأة وتتصل بشؤون ومع المعلوماتالدخول إلى المعلومات والعمل على نظمها

وإدارتها

أهداف استراتيجية أمن المعلومات ولكي تعتبر استراتيجية أمن المعلومات ناجحة وفعالة

اعدادها وتنفيذها وقابلة للتطبيق فال بد أن يشارك فيجميع المستويات الوظيفية التي لها عالقة بتلك

المستويات إلى انجاح تلك االستراتيجية حيث تسعى تلكاالستراتيجة من خالل تحقيق أهداف استراتيجية أمن

والتي تتمثل في المعلومات

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 60: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 61

تعريف مستخدمي نظم المعلومات ومختلف االداريين بالتزاماتهم وواجباتهم ١ة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفي المطلوبة لحمايمختلف مراحل جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها

عند الحاجة

تحديد وضبط اآلليات التي يتم من خاللها تحقيق وتنفيذ الواجبات المحددة لكل من ٢له عالقة بنظم المعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر

د ٣ا عنل معه بيان اإلجراءات المتبعة لتفادي التهديدات والمخاطر وكيفية التعامحصولها والجهات المكلفة بالقيام بذلك

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 61: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 62

عناصر أمن المعلومات

من أجل حماية المعلومات من المخاطر التي تتعرض لها ال بد من توفر مجموعة من العناصر التي يجب أخذها بعين االعتبار لتوفير الحماية الكافية للمعلومات

تلك العناصر إلى خمسة عناصر وهي

)Confidentiality(( السرية أو الموثوقية ١

ل أشخاص غير وهي تعني التأكد من أن المعلومات ال يمكن االطالع عليها أو كشفها من قبمصرح لهم بذلك ولتجسيد هذا األمر يجب على المؤسسة استخدام طرق الحماية المناسبة

من خالل استخدام وسائل عديدة مثل عمليات تشفير الرسائل أو منع التعرف على حجم تلك المعلومات أو مسار إرسالها

)Authentication(( التعرف أو التحقق من هوية الشخصية ٢

وهذا يعني التأكد من هوية الشخص الذي يحاول استخدام المعلومات الموجودة ومعرفة ما إذا كان هو المستخدم الصحيح لتلك المعلومات أم ال ويتم ذلك من خالل استخدام كلمات السر

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 62: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 63

مؤسسة وتوضح مستخدم بكل المعلومات (RSA) الخاصة RSA Security Inc) ألمنwwwrsasecuritycom) وهي الشخصية من للتحقق طرق ثالث

طريق عن والثانية المرور كلمة مثل الشخص يعرفه شيء طريق عن األولىالشيفرة رسالة مثل يملكه بإدخاله (Token) شيء يقوم كود عن عبارة وهي

اإللكترونية الشهادة أو التشغيل صالحيات على للحيازة للحاسوب المستخدمبصمة مثل الفيزيائية الصفات من الشخص به يتصف شيئ طريق عن والثالثة

وسلبياتها إيجابياتها لها طريقة وكل الصوت نبرة أو الشبكي المسح أو اإلصبعمؤسسة الطرق (RSA) وتنصح هذه من البعض بعضهما مع طريقتين باستخدام

الثالثة

المحتوى( ٣ سالمة (Integrity)

أو تدميره أو تعديله يتم ولم صحيح المعلومات محتوى أن من التأكد تعني وهيداخليا التعامل كان سواء التبادل أو المعالجة مراحل من مرحلة أي في به العبث

غالبا ذلك ويتم بذلك لهم مصرح غير أشخاص قبل من خارجيا أو المشروع فييكسر أن ألحد يمكن ال حيث الفيروسات مثل مشروعة الغير االختراقات بسبب

المؤسسة عاتق على يقع لذلك حسابه رصيد بتغيير ويقوم البنك بيانات قاعدةالبرمجيات مثل مناسبة حماية وسائل اتباع خالل من المحتوى سالمة تأمين

الفيروسات أو لالختراقات المضادة والتجهيزات

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 63: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 64

)Availability(( استمرارية توفر المعلومات أو الخدمة ٤

ل مكوناته واستمرار القدرة على ل نظام المعلومات بكوهي تعني التأكد من استمرارية عمل مع المعلومات وتقديم الخدمات لمواقع المعلومات وضمان عدم تعرض مستخدمي التفاع

تلك

المعلومات إلى منع استخدامها أو الوصول إليها بطرق غير مشروعة يقوم بها أشخاص إليقاف ل العبثية عبر الشبكة إلى األجهزة الخاصة لدى ل من الرسائالخدمة بواسطة كم هائ

المؤسسة

)No repudiation(( عدم اإلنكار ٥

ل بالمعلومات لهذا اإلجراء ويقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معين متصولذلك ال بد من توفر طريقة أو وسيلة إلثبات أي تصرف يقوم به أي شخص للشخص الذي قام ل بضاعة تم شراؤها عبر شبكة اإلنترنت إلى ل ذلك للتأكد من وصوبه في وقت معين ومثال التوقيع اإللكتروني ل مثل المبالغ إلكترونيا يتم استخدام عدة رسائصاحبها وإلثبات تحوي

والمصادقة اإللكترونية

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 64: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 65

اليوم وعليه المخاطر ناتي على للتعرفنظم أمن تهدد التي المختلفة

اإللكترونية المحاسبية المعلوماتوإجراءات حدوثها أسباب على والتعرف

المخاطر تلك لمواجهة المتبعة الحماية

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 65: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 66

المحاسبي المعلوم13ات نظام اختراق على تساعد التي -العوامل

نظم المعلومات اإللكترونية تتضمن كم هائل من البيانات ولذلك فإنه يصعب عمل نسخ ١bullbullورقية لها

صعوبة اكتشاف األخطاء الناتجة عن التغير في نظام المعلومات المحاسبي اإللكتروني ٢bullوذلك ألنه ال يمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال يكشف أي

bullتغيير

صعوبة مراجعة اإلجراءات التي تتم من خالل الحاسب وذلك ألنها غير مرئية وغير ٣bullbullظاهرة

bull صعوبة تغيير النظم اآللية مقارنة بالنظم اليدوية ٤bull

احتمال تعرض النظم اآللية إلى إساءة استخدامها بواسطة الخبراء غير المنتمين للمنظمة ٥bullbullفي حال استدعائهم لتطوير النظم

قد تؤدي المخاطر التي تتعرض لها النظم اآللية إلى تدمير كافة سجالت المنظمة وبذلك ٦bull bull bull bull bull bull bull bullفهي أشد خطورة على النظم اآللية من النظم اليدوية

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 66: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 67

انخفاض المستندات التي يمكن من خاللها مراجعة النظام ٧تؤدي إلى انخفاض حالة األمان اليدوية

احتمال تعرض النظم اآللية إلى حدوث أخطاء أو إساءة ٨استخدام النظام في مرحلة تشغيل البيانات وذلك لتعدد

عمليات التشغيل في النظام اآللي

ضعف الرقابة على النظام اآللي بسبب االتصال المباشر ٩للمستخدم بنظم المعلومات

التطور التكنولوجي في االتصال عن بعد سهل عملية ١٠االتصال بنظم المعلومات من أي مكان وبالتالي إمكانية

الوصول غير المسموح به أو إساءة استخدام نظم المعلومات

استخدام العديد من التطبيقات في مواقع مختلفة لنفس قاعدة ١١البيانات يؤدي إلى إمكانية اختراقها بفيروسات الحاسب وبالتالي

امكانية تدمير أو تغيير قاعدة البيانات لنظام المعلومات

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 67: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 68

ل ماسبق نجد أنه ينبغي ومن خالل على على إدارة المؤسسة العمحماية بياناتها بكافة أشكالها سواء كانت ورقية أو غير ورقية كما أن

نظام المعلومات المحاسبي اإللكتروني يكون عرضة للمخاطر

ولذلك ال أكثر من غيره من النظم بد لإلدارة من وضع قيود على المستخدمين تحد من امكانية

التالعب بالبيانات أو العبث بها 13ل 13131313131313131313سواء من أطراف داخ

المؤسسة أو خارجها

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 68: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 69

المخاطر التي يمكن أن تتعرض لها نظم المعلومات المحاسبية االلكترونية -

يعتبر موضوع حماية البيانات من األمور الواجب االهتمام بها في كافة مراحل إعداد نظم المعلومات المحاسبية حيث أن أمن البيانات

والمعلومات أصبح من أهم عناصر الرقابة الواجب تطبيقها على المعلومات من خالل التخطيط المستمر خالل دورة حياة نظم

المعلومات المحاسبية المستخدمة

وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالية النظم وتزداد تلك الخطورة في النظم اإللكترونية

وتكمن خطورة مشاكل أمن المعلومات في عدة جوانب منها تقليل أداء األنظمة الحاسوبية أو تخريبها بالكامل مما يؤدي إلى تعطيل

الخدمات الحيوية للمنشأة أما الجانب اآلخر فيشمل سرية وتكامل المعلومات حيث قد يؤدي االطالع والتصنت على المعلومات السرية

أو تغييرها الى خسائر مادية أو معنوية كبيرة

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 69: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 70

التالية االسئلة على االجابة من بد ال

المعلومات 1 نظم أمن تهدد التى المخاطر طبيعة على التعرفتكرارها ومعدالت العاملة المصارف بيئة فى اإللكترونية المحاسبية

أمن ٢ تهدد التى المختلفة المخاطر حدوث أسباب على التعرف

العاملة المصارف لدى اإللكترونية المحاسبية المعلومات نظمفي ٣ العاملة المصارف تتبعها التي الحماية اجراءات على التعرف

المحاسبية معلومات نظم تهدد التي المخاطر من للحد غزة قطاع اإللكترونية

الضوابط ٤ كفاية وعدم المعلومات نظم أمن مخاطر بين التمييزالنظم تلك ألمن الرقابية

إهمالها ٥ وعدم اآللي الحاسب مخرجات مخاطر على التركيز

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 70: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

عملي البنوك مثالوالمستثمرين (1 الدائنين و المودعين مصالح لحماية الموجودة األصول على المحافظة

بها (2 أصولها ترتبط التي األعمال أو األنشطة في المخاطر على والسيطرة الرقابة إحكاموالسنداتكالقروض االستثمار أدوات من وغيرها االئتمانية والتسهيالت

إدارة (3 وتقوم مستوياتها جميع وعلى المخاطر أنواع من نوع لكل النوعي العالج تحديدبيوم يوما بها تقوم التي والعمليات المنشأت

الفورية (4 الرقابة خالل من وتأمينها ممكن حد أدنى إلى وتعليلها الخسائر من الحد على العملإدارة ومدير المنشأة إدارة ذلك إلى انتهت ما إذا خارجية جهات إلى تحويلها خالل من أو

المخاطرعلى (5 للرقابة معينة بمخاطر يتعلق فيما بها القيام يتعين التي واإلجراءات التصرفات تحديد

الخسائر على والسيطرة األحداثالمحتملة (6 الخسائر تقليل أو منع بغرض وذلك حدوثها بعد أو الخسائر قبل الدراسات إعداد

دفع إلى تعود التي األدوات واستخدام عليها السيطرة يتعين مخاطر أية تحديد محاولة مع المخاطر هذه مثل تكرار أو لدى( 7حدوثها المناسبة الثقة بتوفير المنشأة صورة حماية

خسائر أي رغم األرباح توليد على الدائمة قدراتها بحماية والمستثمرين والدائنين المودعينتحقيقها عدم أو األرباح تقلص إلى تؤدي قد والتي عارضة

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 71: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 72

bullفرضيات bull bull ال تحدث المخاطر التالية بشكل متكرر في المصارف العاملة ١bull مخاطر تتعلق بادخال البيانات middot bull مخاطر تتعلق بالتشغيل middot bull مخاطر تتعلق بالمخرجات middot bull bullمخاطر تتعلق بالبيئة middot

ترجع اسباب حدوث المخاطر التي تهدد نظ13م المعلوم13ات ٢bullbullالمحاس13بية اإللكتروني13ة ف13ي المصارف العاملة إلى

أسباب تتعلق بموظفي البنك نتيجة لقلة الخبرة و الوعي والتدريب middot bull اسباب تتعلق بادارة المصرف نتيجة لعدم وجود سياسات واضحة ومكتوبة middot

bullوضعف bullاالجراءات واالدوات الرقابية المطبقة bull

ال توجد إجراءات حماية كافية لمواجهة مخاطر نظم المعلومات ٣bull المحاسبية اإللكتروني13ة ف13ي المصارف العاملة

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 72: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 73

أهداف

التعرف على طبيعة المخاطر التى تهدد أمن نظم المعلومات ١المحاسبية اإللكترونية فى بيئة المصارف العاملة في قطاع غزة

ومعدالت تكرارها

التعرف على أسباب حدوث المخاطر المختلفة التى تهدد أمن نظم ٢المعلومات المحاسبية اإللكترونية لدى المصارف العاملة

التعرف على اجراءات الحماية التي تتبعها المصارف العاملة للحد ٣من المخاطر التي تهدد نظم معلومات المحاسبية اإللكترونية

التمييز بين مخاطر أمن نظم المعلومات وعدم كفاية الضوابط ٤الرقابية ألمن تلك النظم

التركيز على مخاطر مخرجات الحاسب اآللي وعدم إهمالها٥

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 73: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 74

يسعى نظام المعلومات المحاسبي المصرفي إلى تحقيق العديد من األهداف والتي م13ن أهمه13ا

تحقيق الدقة في انجاز العمليات المالية واستخراج النتائج ١بالشكل الصحيح

السرعة في تنفيذ العمليات المالية وفي الوقت المناسب ٢ االقتصاد في النفقة بما يحقق التوازن بين تكلفة النظام ٣

وبين األهداف المطلوبة تحقيق مبدأ الرقابة الداخلية الالزمة لحماية النظام ٤ انجاز الكشوف والتقارير المالية المطلوبة لغايات البنك ٥

وكذلك البنك المركزي ومن خالل ماسبق نالحظ أن أهداف النظام المحاسبي

المصرفي هي نف13سها أه13داف أي نظ13ام معلومات والتي البد من العمل على تحقيقها من أجل ضمان محاسبي

استمرارية العمل لدى المصرف وتعزيز الثقة واألمان بالعمل المصرفي

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 74: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 75

مشاكل الجهاز المصرفي

يتعرض الجهاز المصرفي إلى العديد من المشاكل التي قد تؤثر على العمل المصرفي ومن أهم تلك المشاكل

ين المصرف ١ة بم العالقي تحك التشريع المصرفي والناتج عن االفتقار لبعض التشريعات التوعمالئه في حاالت االخالل بااللتزامات

تثمار ٢ عدم وجود مناخ استثماري مالئم يساعد المستثمر على اتخاذ القرار المناسب لالسل الثقة بسبب العديد من العوامل اإلقتصادية واإلجتماعية والثقافية والدينية والقانونية وعوام

واألمان

عدم وجود االستقرار السياسي واالجتماعي ٣

ي ٤ريجين فل المصرفية بالرغم من توافر الخ عدم توافر الكوادر المدربة على األعماالمجاالت التي تحتاجها أعمال المصارف

ع ٥شها المجتمي يعيسياسية التل تتعلق بضعف البنية التحتية بسبب الظروف ال مشاكالفلسطيني

ابو والتي ٦رة الطارج دائ الضمانات العقارية المتعلقة بالمباني واألراضي والتي تتم بعقود خمن الصعب قبولها لدى المصرف كضمانات مقابل الحصول على قروض صعبة

ضعف التنظيم المحاسبي في بيئة األعمال الفسطينية ٧

افتقار الجهاز المصرفي إلى المؤسسة المصرفية المالية المساندة لعمله ٨

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 75: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 76

وجود اختالل وتشوهات هيكلية في الجهاز المصرفي ٩وذلك بسبب عدم التزام المصارف في الهدف الذي

أنشئت من أجله حيث أن العديد من المصارف المتخصصة ال تمارس عملها كمصارف متخصصة وإنما

تمارس عمل المصارف التجارية

مشكلة بداية العمل وكيفية تحديد ورسم األهداف ١٠والسياسات القومية

وقد تؤثر المشاكل السابقة على أداء العمل المصرفي وخاصة الموظفين الذين يتعرضون لمشاكل عدم االستقرار

في الحياة السياسية واالجتماعية والذي يؤدي إلى عدم قيام هؤالء الموظفين بانجاز أعمالهم بالدقة المطلوبة

مما يؤدي إلى عدم الثقة بالنظام المصرفي لدى المصرف

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 76: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 77

المخاطر مراقبة اهمية أن نظم المعلومات المحاسبة اإللكترونية قد أصبحت عرضة للعديد من ١bull

bullالمخاطر التى تهدد صحة وموثوقية ومصداقية وسرية وتكامل ومدى إتاحية

bullالبيانات المالية والمحاسبية التى توفرها تلك النظم مما يؤدي إلى سهولةbull bullحدوث تلك المخاطرbull bull وجود خلط واضح وعدم تمييز بين مخاطر أمن نظم المعلومات وعدم كفاية٢bull

bullالضوابط الرقابية ألمن تلك النظم لدى العديد من الباحثينbull bull أن معظم الدراسات قد ركزت على مخاطر أمن نظم المعلومات المتعلقة٣bull

bullبمرحلتى إدخال وتشغيل البيانات وأهملت تماما المخاطر المرتبطة بمرحلةbull bull هامة وحيوية من مراحل النظام وهى مخرجات الحاسب اآللى

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 77: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 78

مخاطر تهديدات أمن نظم المعلومات المحاسبية اإللكترونية من وجهات نظر مختلفة إلى عدة أنواع-

)The Source of Threats( من حيث مصدرها أوال

)Externalب مخاطر خارجية ( )Internalأ مخاطر داخلية (

)The perpetrator( من حيث المتسبب بها ثانيا

)Human Threatsأ مخاطر ناتجة عن العنصر البشري (

)Non-Humanب مخاطر ناتجة عن العنصر الغير بشري (

)Intention( من حيث أساس العمدية ثالثا

)Intentionalأ مخاطر ناتجة عن تصرفات متعمدة (مقصودة) (

)Accidentalب مخاطر ناتجة عن تصرفات غير متعمدة (غير مقصودة) (

)Consequences( من حيث اآلثار الناتجة عنها رابعا

)Physical Damageأ مخاطر ينتج عنها أضرار مادية (

)Technical or Logicalب مخاطر فنية ومنطقية (

المخاطر على أساس عالقتها بمراحل النظامخامسا

)Inputأ مخاطر المدخالت (

)Processingب مخاطر التشغيل (

)Outputت مخاطر المخرجات (

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 78: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 79

وفي ما يلي توضيح لتلك المخاطر

من حيث مصدرهاأوال

)Internal( أ مخاطر داخلية

حيث يعتبر موظفي المنشآت هم المصدر ا رض لهالرئيسي للمخاطر الداخلية التي تتعم المعلومات المحاسبية اإللكترونية وذلك نظ

ألن موظفي المنشآت على علم ومعرفة بمعلومات النظام وأكثر دراية من غيرهم

بالنظام الرقابي المطبق لدى المنشآة ومعرفة نقاط القوة والضعف ونقاط القصور لهذا النظام ل مع ويكون لديهم القدرة على التعام

اللن خل إليها مصالحيات المعلومات والوصول الممنوحة لهم ولذلك فإن موظفي الشركة غير الدخوول للبيانات وإمكانية تدميرها أو األمناء يستطيعون الوص

تحريفها أو تغييرها

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 79: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 80

)External(ب مخاطر خارجية

وتتمثل في أشخاص خارج المنشأة ليس لهم عالقة مباشرة بالمنشأة مثل قراصنة

المعلومات والمنافسين الذين يحاولون اختراق الضوابط الرقابية واألمنية للنظام بهدف

الحصول على معلومات سرية عن المنشأة أو قد تتمثل في كوارث طبيعية مثل الزلزال

والبراكين والفيضانات والتي قد تحدث تدمير جزئي أو كلي للنظام في المنشاة

من حيث المتسبب لها ثانيا

أ مخاطر ناتجة عن العنصر البشري

وتلك األخطاء قد تحدث من قبل أشخاص

بشكل مقصود وبهدف الغش والتالعب أو بشكل غير مقصود نتيجة الجهل أو السهو أو الخطأ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 80: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 81

ب مخاطر ناتجة عن العنصرغير البشري

وهي تلك المخاطر التي قد تحدث بسبب كوارث طبيعية ليس لإلنسان عالقة بها مثل حدوث الزالزل والبراكين والفيضانات والتي قد تؤدي إلى تلف النظام ككل أو جزء منه

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 81: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 82

من حيث العمدية ثالثا

أ مخاطر ناتجة عن تصرفات متعمدة)مقصودة(

و تتمثل في تصرفات يقوم بها الشخص متعمدا مثل ادخال بيانات خاطئة وهو يعلم ذلك أو قيامه بتدمير بعض البيانات متعمدا ذلك بهدف

الغش والتالعب والسرقة وتعتبر هذه المخاطر من المخاطر المؤثرة جدا على النظام

ب مخاطر ناتجة عن تصرفات غير متعمدة )غير مقصودة(

وتتمثل في تصرفات يقوم بها األشخاص نتيجة

الجهل وعدم الخبرة الكافية كادخالهم لبيانات بطريقة خاطئة بسبب عدم معرفتهم بطرق

ادخالها أو السهو في عملية التسجيل وتعتبر هذه المخاطر أقل ضررا من المخاطر

المقصودة وذلك إلمكانية إصالحها

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 82: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 83

من حيث اآلثار الناتجة عنها رابعا

أ مخاطر تنتج عنها أضرار مادية

وهي المخاطر التي تؤدي إلى حدوث أضرار للنظام وأجهزة الكمبيوتر أو تدمير لوسائل

تخزين البيانات والتي قد يكون سببها كوارث طبيعية ال عالقة لالنسان بها أو قد تكون بسبب

البشر بطريقة متعمدة أو عفوية

ب مخاطر فنية ومنطقية

وهي المخاطر الناتجة عن أحداث قد تؤثر على البيانات وإمكانية الحصول عليها لألشخاص

المخول لهم بذلك عند الحاجة لها أو إفشاء بيانات سرية ألشخاص غير مصرح لهم

بمعرفتها

وذلك من خالل تعطيل في ذاكرة الكمبيوتر أو إدخال فيروسات للكمبيوتر قد تفسد البيانات

أو جزء منها وتلك المخاطر قد تؤثر على الموقف التنافسي للمنشأة

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 83: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 84

المخاطر من حيث عالقتها خامسابمراحل النظام

أ مخاطر المدخالت

وهي المخاطر الناتجة عن عدم تسجيل البيانات في الوقت المناسب وبشكلها الصحيح أو عدم

نقل البيانات بدقة خالل خطوط االتصال

وتتمثل المخاطر المتعلقة بأمن المدخالت إلى أربعة أقسام أساسية

وهي

-خلق بيانات غير سليمة١

ويتم ذلك من خالل خلق بيانات غير حقيقية ولكن بواسطة مستندات صحيحة يتم وضعها

داخل مجموعة من العمليات دون أن يتم اكتشافها ومثال ذلك استخدام أسماء وهمية

لموظفين ال يعملون بالشركة وادراج تلك األسماء ضمن كشوف الرواتب وصرف رواتب شهرية لهم أو ادخال فواتير وهمية باسم أحد

الموردين

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 84: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 85

-تعديل أو تحريف بينات المدخالت٢

ويتم ذلك من خالل التالعب في المدخالت والمستندات األصلية بعد اعتمادها من قبل المسؤول وقبل ادخالها إلى النظام وذلك عن طريق تغيير في أرقام مبالغ بعض العمليات

لصالح المحرف أو تغير أسماء بعض العمالء أو معدالت الفائدة

-حذف بعض المدخالت٣

ويحدث ذلك من خالل حذف أو استبعاد بعض البيانات قبل ادخالها إلى الحاسب اآللي وذلك إما بشكل متعمد ومقصود أو بشكل غير متعمد وغير مقصود ومثال ذلك قيام الموظف

المسؤول

عن المرتبات في المنشأة بتدمير مذكرات وتعديالت تفصيالت حساب البنك لحساب آخر خاص بالموظف المحرف

-ادخال البيانات أكثر من مرة ٤

والمقصود بذلك قيام الموظف بتكرار ادخال البيانات إلى الحاسب إما بطريقة مقصودة أو غير مقصودة ويتم ذلك من خالل إدخال بينات بعض المستندات أكثر من مرة إلى النظام

قبل أوامر الدفع وذلك إما بعمل نسخ إضافية من المستندات األصلية وتقديم كل من الصورة واألصل أو إعادة ادخال البينات مرة أخرى إلى النظام

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 85: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 86

ب مخاطر تشغيل البيانات

ويقصد بها المخاطر المتعلقة بالبيانات المخزنة في ذاكرة الحاسب والبرامج التي تقوم بتشغيل تلك البيانات وتتمثل مخاطر تشغيل البيانات في االستخدام غير المصرح به لنظام

وبرامج التشغيل وتحريف وتعديل البرامج بطريقة غير قانونية أو عمل نسخ غير قانونية أو سرقة البيانات الموجودة على الحاسب اآللي ومثال على ذلك قيام الموظف بإعطاء أوامر

للبرنامج بأن ال يسجل أي قيود في السجالت المالية تتعلق بعمليات البيع الخاصة بعميل معين من أجل االستفادة من مبلغ العملية لصالح المحرف نفسه

ج مخاطر مخرجات الحاسب

ويقصد بها المخاطر المتعلقة بالمعلومات والتقارير التي يتم الحصول عليها بعد عملية تشغيل ومعالجة البيانات وقد تحدث تلك المخاطر من خالل طمس أو تدمير بنود معينة من

المخرجات أو خلق مخرجات زائفة وغير صحيحة أو سرقة مخرجات الحاسب أو إساءة استخدامها

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 86: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 87

ها نسخ غير مصرح بها من المخرجات أو الكشف الغير مسموح به للبيانات عن طريق عرضر على شاشات العرض أو طبعها على الورق أو طبع وتوزيع المعلومات بواسطة أشخاص غي

مسموح لهم بذلك كذلك توجيه تلك المطبوعات والمعلومات خطأ إلى أشخاص ليس لهم خاص ال ق في االطالع على تلك المعلومات أو تسليم المستندات الحساسة إلى أشالحيهم الناحية األمنية بغرض تمزيقها أو التخلص منها مما يؤدي إلى استخدام تلك وافر فتت

المعلومات في أمور تسيء إلى المؤسسة وتضر بمصالحها

مخاطر نظم المعلومات حسب الغرض منها

ن تتعرض نظم المعلومات الحاسوبية إلى العديد من األخطار والمهددات التي قد تهدد أمم معلوماتها وقد تتنوع مصادر تلك المهددات بحسب األغراض التي تقوم بها تلك النظم نظ

ويمكن تصنيف أنواع التهديدات واألخطار بحسب مصادرها إلى أربعة أنواع رئيسية

ى ١ل إل خرق النظم الحاسوبية بهدف االطالع على المعلومات المخزنة فيها والوصوسس صناعي أو التجسس المعلومات شخصية أو أمنية عن شخص ما أو التج

المعادي للوصول إلى معلومات عسكرية سرية

وك ٢ل (التالعب بالحسابات في البن خرق النظم الحاسوبية بهدف التزوير أو االحتياسجل ن الصية مالتالعب بفاتورة الهاتف التالعب بالضرائب تغيير بيانات شخ

المدني أو السجل العام للموظفين إلخ)

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 87: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 88

خرق النظم الحاسوبية بهدف تعطيل هذه النظم عن العمل ٣ألغراض تخريبية باستخدام ما يسمى البرامج الخبيثة (مثل

الفيروسات الدودة حصان طروادة أو القنابل اإللكترونية) إما من قبل األفراد أو العصابات أو الجهات األجنبية بغرض شل هذه النظم الحاسوبية (أو المواقع على االنترنت) عن

العمل وخاصة في ظروف خاصة أو في أوقات الحرب أخطار ناتجة عن فشل التجهيزات في العمل أعطال ٤

كهربائية حريق كوارث طبيعية (فيضانات زلزال)

وتعتبر التصنيفات السابقة لمخاطر نظم المعلومات المحاسبية اإللكترونية شاملة لجميع المخاطر التي تواجه نظم المعلومات

المحاسبية

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 88: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 89

تصنيف المخاطر التي تواجه نظم المعلومات المحاسبية اإللكترونية بشكل

عام إلى أربعة أصناف رئيسية

أوال مخاطر المدخالت

ل البيانات إلى ل النظام وهي مرحلة ادخال مرحلة من مراحوهي المخاطر التي تتعلق بأوالنظام اآللي وتتمثل تلك المخاطر في البنود التالية

االدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة الموظفين ١

االدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة الموظفين ٢

التدمير غير المتعمد للبيانات بواسطة الموظفين ٣

التدمير المتعمد (المقصود) للبيانات بواسطة الموظفين ٤

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 89: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 90

ثانيا مخاطر تشغيل البيانات

وهي المخاطر التي تتعلق بالمرحلة الثانية من ة شغيل ومعالجة تي مرحلمراحل النظام وهالبيانات المخزنة في ذاكرة الحاسب وتتمثل تلك

المخاطر في البنود التالية

المرور (الوصول) غير الشرعي (غير ١المرخص به) للبيانات والنظام

بواسطة الموظفين

المرور غير الشرعي (غير المرخص به) ٢للبيانات والنظام بواسطة أشخاص

من خارج المنشأة

اشتراك العديد من الموظفين في نفس ٣كلمة السر

إدخال فيروس الكمبيوتر للنظام ٤

المحاسبي والتأثير على عملية تشغيل بيانات النظام

اعتراض وصول البيانات من أجهزة ٥

الخوادم إلى أجهزة المستخدمين

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 90: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 91

ثالثا مخاطر مخرجات الحاسب

وتلك المخاطر تتعلق بمرحلة مخرجات عمليات معالجة وتشغيل البيانات وما يصدر عن هذه المرحلة من قوائم للحسابات أو تقارير وأشرطة ملفات ممغنطة وكيفية

استالم تلك المخرجات وتتمثل تلك المخاطر في البنود التالية طمس أو تدمر بنود معينة من المخرجات ١ غير صحيحة خلق مخرجات زائفة٢ المعلومات سرقة البيانات٣ عمل نسخ غير مصرح (مرخص) بها من المخرجات ٤

الكشف غير المرخص به للبيانات عن طريق عرضها على شاشات العرض ٥ أو طبعها على الورق

طبع وتوزيع المعلومات بواسطة أشخاص غير مصرح لهم بذلك ٦ المطبوعات والمعلومات الموزعة يتم توجيهها خطأ إلى أشخاص غير مخول ٧

لهم ليس لهم الحق في استالم نسخة منها

تسليم المستندات الحساسة إلى أشخاص ال تتوافر فيهم الناحية األمنية بغرض ٨ تمزيقها أو التخلص منها

82

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 91: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 92

رابعا مخاطر بيئية

ة ل بيئيوهي المخاطر التي تحدث بسبب عوامضانات ف والفيزالزل والعواصل المثل التيار الكهربائي واألعاصير المتعلقة بأعطاة أو والحرائق وسواء كانت تلك الكوارث طبيعيل النظام غير طبيعية فإنها قد تؤثر على عمل ل عمالمحاسبي وقد تؤدي إلى تعطزات وتوقفها لفترات طويلة مما يؤثر التجهي

على أمن وسالمة نظم المعلومات المحاسبية االلكترونية

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 92: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 93

انواع المخاطر اإلدخال غير المتعمد (غير المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ١

اإلدخال المتعمد (المقصود) لبيانات غير سليمة بواسطة موظفى المنشأة ٢

التدمير غير المتعمد للبيانات بواسطة موظفى المنشأة ٣

التدمير المتعمد للبيانات بواسطة موظفى المنشأة ٤

النظام بواسطة موظفى المنشأة المرور (الوصول) غير المرخص للبيانات٥

مثل األشرطة واألقراص الممغنطة Media الرقابة غير الكفاية على الوسائل ٦

الرقابة الضعيفة على المناولة اليدوية لمدخالت ومخرجات الحاسب األلى ٧

النظام بواسطة أطراف خارجية (قراصنة الوصول غير المرخص به للبيانات٨Hackers )المعلومات

النظام من قبل المنافسون الوصول غير المرخص به للبيانات٩

إدخال فيروسات الكمبيوتر إلى النظام أو البرامج ١٠

األدوات الرقابية المادية غير الكافية ١١

الكوارث الطبيعية مثل الحرائق والفيضانات أو إنقطاع مصدر الطاقة وغيرها ١٢

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 93: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 94

اخرى مخاطر bull الخطأ أو الفشل البشري )حوادثأخطاء المستخدمين(١bull bull سرقة13 الحقوق الذهنية والفكرية13 )قرصنة انتهاك حقوق الطبع(٢bull bull أفعال التجسس13 المتعمدة )وصول غير مخول(٣bull bull أفعال متعم13دة إلبتزاز المعلومات )ابتزاز كشف المعلومات(٤bull bull أفعال متعمدة للتخريب أو التدمير )دمار األنظمة أو المعلومات(٥bull bull أفعال متعم13دة للسرقة )مصادرة غير شرعية من األجهزة أو المع13لومات(٦bull bull هجوم متعمد للبرمجيات )فيروسات نكران الخدمة حصان طروادة(٧bull bull قوة الطبيعة13 )نار فيضان زلزال برق(٨bull نوعية انحرافات الخدمة من م13جهزو الخدمة )قضايا متعلقة بالشبكة ٩bull

bullوقوتها( bull حاالت فشل أو أخطاء أجهزة تقنية )فشل أجهزة(١٠bull حاالت فشل أو أخطاء البرامج التقنية )أخطاء برمجية فجوات مجهولة(١١bull

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 94: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 95

The Summary الملخص

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات
Page 95: ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ

05012023 96

Recommendations التوصيات

  • ﻤﺨﺎﻁﺭ ﻨﻅﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻴﺔ ﺍﻹﻟﻜﺘﺭﻭﻨﻴﺔ Risks of Integrated A
  • مقدمة
  • Slide 3
  • Slide 4
  • Slide 5
  • What is Risk
  • Slide 7
  • Slide 8
  • Seven Principles of Risk Management
  • Slide 10
  • What is the Risk Management process
  • Slide 12
  • Steps for Risk Management
  • Summary of risk management steps
  • Slide 15
  • Slide 16
  • Slide 17
  • Slide 18
  • Slide 20
  • Slide 21
  • Slide 22
  • Slide 23
  • Slide 24
  • Slide 25
  • خطوات عملية إدارة المخاطر
  • خطوات إدارة المخاطر
  • Slide 28
  • Slide 29
  • Slide 30
  • Risk Categorization ndash Approach 1
  • Risk Categorization ndash Approach 1 (continued)
  • Risk Categorization ndash Approach 2
  • Steps for Risk Management (2)
  • Slide 35
  • Slide 36
  • Slide 37
  • تحليل وإدارة المخاطر في المشروع
  • Risk Response Planning
  • Slide 40
  • Definition of Risk
  • Slide 42
  • Contents of a Risk Table
  • Developing a Risk Table
  • Slide 45
  • Slide 46
  • Slide 47
  • Slide 48
  • Slide 49
  • Slide 50
  • Slide 51
  • Slide 52
  • Slide 53
  • Slide 54
  • Slide 55
  • Slide 56
  • Slide 57
  • Slide 58
  • Slide 59
  • Slide 60
  • Slide 61
  • Slide 62
  • Slide 63
  • Slide 64
  • Slide 65
  • ﺍﻟﻌﻭﺍﻤل ﺍﻟﺘﻲ ﺘﺴﺎﻋﺩ ﻋﻠﻰ ﺍﺨﺘﺭﺍﻕ ﻨﻅﺎﻡ ﺍﻟﻤﻌﻠﻭﻤﺎﺕ ﺍﻟﻤﺤﺎﺴﺒﻲ-
  • Slide 67
  • Slide 68
  • Slide 69
  • Slide 70
  • البنوك مثال عملي
  • Slide 72
  • Slide 73
  • Slide 74
  • Slide 75
  • Slide 76
  • اهمية مراقبة المخاطر
  • Slide 78
  • Slide 79
  • Slide 80
  • Slide 81
  • Slide 82
  • Slide 83
  • Slide 84
  • Slide 85
  • Slide 86
  • Slide 87
  • Slide 88
  • Slide 89
  • Slide 90
  • Slide 91
  • Slide 92
  • Slide 93
  • مخاطر اخرى
  • الملخص The Summary
  • Recommendations التوصيات