‫الفصل الرابع‬

‫تحليل المشروع المريكي الكندي المشترك‬

‫‪‬المقدمة‪.‬‬
‫المحاولت الجادة لستقصاء الراء حول التعامل بالتجارة‬ ‫‪‬‬

‫اللكترونية‪.‬‬
‫تحليل المشروع المريكي الكندي المشترك‪.‬‬ ‫‪‬‬

‫مقدمة‬
‫لقد ذكر (البرت مرسيل ‪ )Albert Marcella‬في مقالته المعنونة بالتجارة‬
‫اللكترونية في مجلة تدقيق تكنولوجيا المعلومات ‪ " ،‬لقد أحدثت التجارة اللكترونية‬
‫تغيرات كبيرة في عالم التجارة العالمي وفي آلية العمليات التجارية مما جعل من‬
‫الضروري أن يلم كل من المحاسب والمدقق بتلك التغيرات وأثرها على مهنتهما‬
‫وعلى العمال التي يقومان عليها وعلى ظروف البيئة القانونية المتعلقة بالمهنة "‬
‫‪1‬‬

‫‪1‬‬
‫‪Albert Marcella, Electronic, Opcit.‬‬

‫‪94‬‬
 ‫وبالفعل فلقد تنبهت بعض الهيئات المحاسبية لهمية وخطورة الموضوع ‪،‬‬
‫وعلى رأسها معهد المحاسبين القانونيين المريكي ‪ ،‬ومعهد المحاسبين القانونيين‬
‫الكندي ‪" ،‬ويمكن القول بأن مهنة المحاسبة كانت من السباقين بتطوير معايير للتجارة‬
‫اللكترونية ‪ ، Electronic Commerce Standards‬كمحاولة لتمكين طـرف‬
‫ثالث مستقل بأن يزود آلية التوكيدية لمجتمع العمال المتعاملين بهذا النوع الجديد‬
‫من التجارة ‪ ،‬وانطلقا من الرغبة في تمكين مهنة المحاسبة من المواكبة والستجابة‬
‫السريعة لتزويد خدمات التوكيدية ‪ ،‬قام كل من معهد المحاسبين القانونيين المريكي‬
‫ومن خلل مشروع مشترك مع معهد المحاسبين القانونيين الكندي بإنشاء فريـق‬
‫عمل للتجارة اللكترونية ‪ ، Electronic Commerce Taskforce‬مهمته تحديد‬
‫‪1‬‬
‫حاجات السوق لخدمات التوكيد ‪"Assurance‬‬

‫وقد استطاعت اللجنة فعل تحديد قلق الجمهور ‪ ،‬والذي تمحور حول فقدان‬
‫المان ‪ ،‬والخصوصية ‪ ،‬والثقة بالعمليات اللكترونية التي تتم عبر التجارة‬
‫اللكترونية‪ .‬ووجدت اللجنة أن المستهلكين قلقين بشكل جدي وحصرت تساؤلتهم‬
‫بالشكل التالي‪:‬‬
‫‪-1‬هل الشركة التي أتعامل معها عبر شبكة النترنيت ‪ ،‬هي فعل‬
‫الشركة المعنية أم ل ؟‬
‫‪-2‬هل في حالة أني زودت الشركة برقم بطاقة اعتمادي أو رقم‬
‫حسابي تعد عملية آمنة ؟‬
‫‪-3‬هل المعلومات الشخصية الخاصة بي ل يتم تداولها من قبل الغير‬
‫في شبكة النترنيت ؟‬
‫‪-4‬هل سأتلقى طلبي نفسه الذي أطلبه عبر شبكة النترنيت ؟‬
‫‪-5‬هل سيتم اليفاء بالتسليم وفي الموعد المحدد ؟‬

‫‪1‬‬
‫‪Appalraju Yogen, Accountants Chip In To Build Trust In E-Commerce, Computing Canada, 11/23/98,‬‬
‫‪Vol. 24, Issue 44, Page 28, www.ebscohost.com.‬‬

‫‪95‬‬
 ‫‪-6‬من الذي سيكفل حصولي على قيمة البضاعة المذكورة بموقع‬
‫الشركة ؟‬

‫وإيمانا من اللجنة بأن المحاسب القانوني هو الشخص المؤهل للجابة على‬

‫السئلة السابقة ‪ ،‬قامت بإنشاء ما يسمى موثوقية الموقع ‪ , Webtrust‬والذي هو‬
‫عبارة عن ختم إلكتروني يتم وضعه على موقع الشركة المتعاملة مع أحد منتسبي‬
‫معهد المحاسبين القانونيين المريكي أو معهد المحاسبين القانونيين الكندي ولكن‬
‫بشرط أن تكون الشركة قد لبت الشروط الثلثة التالية‪:‬‬
‫‪-1‬الفصاح عن العمال التي تمارسها ‪Business Practices‬‬
‫‪ ، Disclosure‬مما يعني بأن المستهلك يتعامل مع الشركة وفقا‬
‫لسياساتها المعلنة في صفحتها عبر النترنيت‪.‬‬
‫نزاهة العمليات ‪ ، Transaction Integrity‬مما يعني أن الشركة‬ ‫‪-2‬‬

‫قد وفرت الليات الكفيلة التي تؤمن وصول البضاعة أو الخدمات‬

‫للمستهلك مطابقة للطلبية ووفقا للسعار المعلن عنها‪.‬‬
‫‪-3‬حماية الخصوصية والمعلومات ‪Privacy & Information‬‬

‫‪ ، Protection‬مما يعني بأن المعلومات يتم تداولها عبر شبكة‬

‫النترنيت بشكل آمن ويتم كذلك حمايتها من الختراقات غير‬
‫المصرح لها بشكل مسبق‪.‬‬

‫"ومـن الجديـر ذكره بأن فريـق العمـل اسـتطاع إنشاء موثوقيـة الموقـع‬
‫‪ Webtrust‬في خر يف عام ‪ ، 1997‬و تم إ صدار ت سعة أختام إلكترون ية في ن فس‬
‫‪1‬‬
‫العام ‪ ،‬وقد يحتاج السوق إلى بعض الوقت لدراك أهمية هذه الخدمة الجديدة"‬

‫المحاولت الجادة لستقصاء الراء حول التعامل بالتجارة اللكترونية‬

‫‪1‬‬
‫‪Appalraju Yogen, Ibid.‬‬

‫‪96‬‬
‫م نذ ظهور التجارة اللكترون ية والتبادل اللكترونـي ‪ ،‬وانطلقـا مـن المردود‬
‫القتصـادي الضخـم الذي يمكـن تحقيقـه ‪ ،‬قامـت كثيـر مـن الجهات المهنيـة بعمـل‬
‫البحوث المتعددة ل ستقصاء جم يع آراء المهتم ين ‪ ،‬وذلك للوقوف على حا جة ال سوق‬
‫وأ سباب الحجام عن التعا مل بهذا النوع من التبادل اللكترو ني ‪ ،‬كمحاولة حقيق ية‬
‫ليجاد حلول مناسـبة لجميـع المشاكـل المرافقـة لهذا النوع مـن التبادل الجديــد ‪،‬‬
‫وبالتالي تأميـن الثقـة بـه وتشجيـع الجميـع على التعامـل مـن خلله ‪ ،‬ومـن أهـم هذه‬
‫البحوث‪:‬‬

‫‪1‬‬
‫مسح لتبادل المعلومات اللكترونية في فنلندة ‪EDI Survey in Finland‬‬
‫حيث قام مركز تطوير تكنولوجيا المعلومات الفنلندي ‪The Finnish‬‬
‫‪ ، Information Technology Development Center‬في خريف عام ‪1998‬‬
‫بعمل مسح شامل بما يتعلق بتبادل المعلومات اللكترونية ‪Electronic Data‬‬
‫‪ ، )Interchange (EDI‬والممول من وزارة النقل والتصالت الفنلندية‪.‬‬
‫لقد هدف البحث إلى معرفة كيفية استخدام الشركات الفنلندية للية تبادل‬
‫المعلومات إلكترونيا ‪ ،‬وما هي المنافع التي يمكن جنيها بواسطة استخدام هذه التقنية‪.‬‬
‫وقد توصل البحث إلى عدد من النتائج ‪ ،‬وكان من أهمها أن الشركات‬
‫الفنلندية الكبيرة تستخدم آلية تبادل المعلومات بشكل متزايد للسباب التالية‪:‬‬
‫‪-1‬أن هذه اللية ‪ ،‬إذا ما قورنت بحجم الشركة تعد من الليات القل‬
‫تكلفة مقارنة بالليات التقليدية‪.‬‬
‫‪-2‬تعد هذه اللية من أنجع الحلول للشركات التي ل تستطيع إيجاد‬
‫شركاء مناسبين لترويج سلعها عبر العالم‪.‬‬

‫ولكن من أهم السلبيات التي توصل إليها البحث‪ ،‬هي عجز كثير من الشركات‬
‫صغيرة الحجم ‪ ،‬في اقتناء ومواكبة هذه التقنية ؛ نظرا للتكلفة الكبيرة بالنسبة لها‪.‬‬
‫‪1‬‬
‫‪Kristina Veravainen, EDI Survey in Finland, IT Audit, Vol. 2, November 15, 1999, www.theiia.org‬‬

‫‪97‬‬
 ‫مؤتمر عالم من دون حدود‪A Borderless World 1‬‬
‫لقد قامت منظمة التعاون القتصادي والتطوير ‪Organization for‬‬
‫‪ Economic Co-operation & Development‬خلل الفترة ‪ 9-7‬أكتوبر لعام‬
‫‪ 1998‬في أوتوا ‪ ، Ottawa‬بتنظيم مؤتمر تحت عنوان " عالم من دون حدود‪:‬‬
‫إدراك إمكانيات التجارة اللكترونية" ‪ ،‬والملفت للنظر بأن هذه المنظمة غير‬
‫الحكومية مكونة من ‪ 29‬عضوا ‪ ،‬ومن أبرز أعضائها الوليات المتحدة المريكية ‪،‬‬
‫واستراليا ‪ ،‬والمملكة المتحدة ‪ ،‬وكندا ‪ ،‬وبلجيكا ‪ ،‬مما يدلل على أهمية التجارة‬
‫اللكترونية في العالم ‪ .‬تهدف هذه المنظمة إلى تجميع أعضائها بمنتدى يتم من‬
‫خلله تبادل الخبرات بين الدول العضاء ‪ ،‬ومناقشة المشاكل المشتركة فيما بينهم ‪،‬‬
‫ومن ثم إيجاد حلول يتم تفعيلها بشكل عملي من خلل الجراءات المحلية لكل دولة‪.‬‬

‫لقد تمركزت أعمال المؤتمر حول المشاكل التي أفرزتها بيئة التجارة‬
‫اللكترونية بما يخص كل من‪:‬‬

‫‪1‬‬
‫‪John Yu, Privacy, A Burning Issue For E-Commerce, Vol. 1, December 1, 1998, www.theiia.org‬‬

‫‪98‬‬
 ‫‪-1‬الضريبة ‪Taxation‬‬
‫‪-2‬الخصوصية ‪Privacy‬‬
‫‪-3‬حماية المستهلك ‪Consumer Protection‬‬
‫‪-4‬المان والتوثيق المستندي ‪Security & Authentication‬‬
‫‪-5‬الوصول للمعلومات ‪Information Access‬‬
‫‪-6‬ومواضيع تخص البنية التحتية ‪Infrastructure Issues‬‬

‫ومن الوراق المهمة التي تمت مناقشتها بالمؤتمر ‪ ،‬ورقة بعنوان تطبيق‬
‫"إرشادات بالخصوصية" في البيئة اللكترونية وبالتركيز على شبكة النترنيت‬
‫‪Implementing "Privacy Guidelines" in the Electronic‬‬
‫‪ ، Environment: Focus on the Internet‬حيث ذكرت الورقة بأنه اصبح من‬
‫الضرورة القصوى تثقيف المدققين ‪ ،‬وبشكل جيد بالتجارة اللكترونية‪.‬‬

‫لقد اقترحت الورقة ثمانية مبادئ خاصة بالبيانات المستقاة عبر التجارة‬
‫اللكترونية ‪ ،‬والتي يجب أن يأخذها المدقق بعين العتبار عند تدقيقه لهذا النـوع‬
‫من التعامل اللكتروني ‪ ،‬ويمكن تلخيص تلك المبادئ بالشكل التالي‪:‬‬
‫‪-1‬مبدأ محدودية جمع البيانات ‪Collection Limitation‬‬
‫‪ Principle‬والذي ينص على وجوب تحديد كيفية جمع‬
‫البيانات ‪ ،‬وأن جمع البيانات يجب أن يتم بطرق ووسائل قانونية‬
‫وبشكل يتماشى مع مصالح صاحب البيانات‪.‬‬
‫‪-2‬مبدأ نوعية البيانات ‪ Data Quality Principle ،‬والذي‬
‫ينص على أن جميع البيانات يجب أن تكون على علقة وثيقة‬

‫‪99‬‬
 ‫بالهدف المرجو من جمعها ويجب أن تكون عملية جمع البيانات‬
‫عملية دقيقة ‪ ،‬وكاملة وفي الوقت الملئم‪.‬‬
‫‪-3‬مبدأ تحديد الهدف ‪Purpose Specification Principle‬‬
‫والذي ينص على أنه يجب تحديد هدف جمع البيانات وبشكل‬
‫مسبق لعملية الجمع ‪ ،‬وتكون عملية الجمع غير ملئمة للهدف إذا‬
‫ما تمت قبل تحديده‪.‬‬
‫‪-4‬مبدأ محدودية الستخدام ‪ Use Limitation Principle‬والذي‬
‫ينص بعدم استخدام البيانات التي تم جمعها لغايات مغايرة للهدف‬
‫المحدد مسبقا ‪ ،‬ويجب الحصول على الترخيص القانوني الملئم‬
‫إذا ما تقرر استخدامها لغايات أخرى‪.‬‬
‫‪-5‬مبدأ الوقاية ‪ Security Safeguard Principle‬والذي ينص‬
‫على انه قد تم اتخاذ الحتياطات اللزمة وبشكل معقول لحماية‬
‫البيانات الشخصية من الضياع ‪ ،‬والستخدام غير المصرح به ‪،‬‬
‫والعبث ‪ ،‬والفصاح عنها للجهات غير المعنية‪.‬‬
‫‪-6‬مبدأ السياسات ‪ ، Policies Principle‬والذي ينص على‬
‫ضرورة الفصاح عن السياسات المتبعة بما يخص كل من‬
‫الممارسات الجرائية ‪ ،‬وجميع السياسات الخرى الخاصة‬
‫بصاحب البيانات‪.‬‬
‫‪-7‬مبدأ مساهمة الفرد ‪Individual Participation‬‬
‫‪ Principle‬والذي ينص على منح الفرد حق توكيد صحة‬
‫المعلومات الشخصية ‪ ،‬خلل وقت معقول ‪ ،‬وضمن تكلفة‬
‫مناسبة ‪ ،‬وإعطائه الحق في إبداء السباب لعدم سماحه للغير في‬
‫الدخول للبيانات وحق تغيير أو تصحيح البيانات‪.‬‬

‫‪100‬‬
 ‫‪-8‬مبدأ المسؤولية ‪ Accountability Principle‬والذي ينص‬
‫على أن المسؤول أو المتحكم بالبيانات يعد مسؤول وبشكل كامل‬
‫عن تطبيق جميع مقاييس المبادئ السبعة السابقة‪.‬‬

‫وفي نهاية الورقة تم طرح بعض المواضيع والمشاكل التي طرأت في بيئة‬
‫النترنيت مؤخرا وكان من أهمها‪:‬‬
‫‪-‬سهولة سرقة عناوين البريد اللكترونية ‪Ease of Harvesting‬‬
‫‪ e-mail‬واستخدامها من قبل الغير في السواق اللكترونية ودون‬
‫علم أصحابها‪.‬‬
‫‪-‬سهولة نشر معلومات مضللة عبر البريد اللكتروني‪.‬‬
‫‪-‬سهولة نشر معلومات مضللة عبر مواقع التصفح ‪.Websites‬‬
‫‪-‬حق المستخدِم بمراقبة البريد إلكتروني للمستخدَم‪.‬‬
‫‪-‬استخدام النترنيت لغراض الحتيال والتلعب‪.‬‬
‫‪-‬عملية جمع المعلومات عن المشتريات عبر النترنيت وعدم‬
‫استخدام هذه المعلومات بشكل مناسب لستهداف السواق‪.‬‬

‫وفي نهاية الورقة تم التأكيد بأن الحكومة جنبا إلى جنب مع القطاع الخاص‬
‫تلعبان دورا مهما ومسؤول بشكل مباشر عن توفير آليات الحماية المناسبة لتحقيق‬
‫الخصوصية المنشودة عبر النترنيت ‪ ،‬وتم شرح الدوار بالشكل التالي‪:‬‬

‫دور الحكومة‬
‫ل بد للحكومة إذا ما أرادت إنجاح تكنولوجيا التجارة اللكترونية توفيـر‬
‫إطار قانوني ملئم يستطيع تشجيع العمال عن طريق تطوير حلول تكنولوجية‬

‫‪101‬‬
 ‫تساهم في حماية الخصوصية المنشودة على شبكة النترنيت من جهة ‪ ،‬وتوعية‬
‫الشعوب لهمية هذا النوع من التجارة من جهة أخرى‪.‬‬
‫وقد اقترحت الورقة ثلثة مبادئ يمكن اعتبارها كإرشادات للحكومات لحماية‬
‫خصوصية مواطنيها ‪ ،‬والتي يمكن تلخيصها بالشكل التالي‪:‬‬
‫‪-1‬مبدأ الشفافية في جمع البيانات ‪Principle of‬‬
‫‪ Transparency for Data Collection‬والذي ينص على‬
‫ضرورة إعلم الشخص بعملية جمع البيانات عنه قبل البدء بعملية‬
‫الجمع ‪ ،‬ويرى الباحث بأنه من الصعب تطبيق هذا المبدأ‬
‫وخصوصا أن عملية جمع البيانات عبر النترنيت تتم بشكل‬
‫فوري عند شك المراقبين ببعض الشخاص المتعاملين عبر‬
‫النترنيت ‪ ،‬وفي حالة انتظارهم لعملية إبلغه ستكون جميع‬
‫المعلومات قد اختفت أو أخفيت ‪ ،‬حيث ل يحتاج المر إل‬
‫لضغطة كبسة بسيطة على لوحة المفاتيح‪.‬‬
‫‪-2‬مبدأ الشفافية في استخدام البيانات ‪Principle of‬‬
‫‪ Transparency for Data Use‬والذي ينص على السماح‬
‫للشخاص بالسيطرة على عملية استخدام البيانات الخاصة بهم ‪،‬‬
‫ومنع النتهاكات‪.‬‬
‫‪-3‬مبدأ السيطرة ‪ Principle of Control‬والذي ينص على‬
‫السماح للشخص المعني بفحص دقة المعلومات الخاصة به وحظر‬
‫تحويل أو نشر أو بيع تلك البيانات‪.‬‬

‫دور القطاع الخاص‬

‫لقد اه تم القطاع الخاص وبشكل ملحوظ بموضوع الخصوصية ‪ ،‬وقامت عدة‬
‫جهات بإنشاء آليات اتصال عبر وخلل النترنيت ‪ ،‬وكل آلية لها خصائص محددة ‪،‬‬

‫‪102‬‬
‫واسـتطاعت بعـض القطاعات كسـب ثقـة المسـتخدمين وشجعتهـم على الدخول لعالم‬
‫التجارة اللكترونية من خلل آلياتها ‪،‬وعن طريق الشتراك بها في كثير من الحيان‬
‫وكمثال على هذه الليات التالي‪:‬‬
‫‪ )Secure Socket Layer (SSL-1‬والذي أنشىء بواسطة شركة‬
‫‪ Netscape‬والذي صمم بشكل يحمي تداول المعلومات عبر‬
‫صفحات النترنيت ‪ ،‬ويزود آلية أمنه نوعا ما لتداول واستخدام‬
‫بطاقات الئتمان من خلله‪.‬‬
‫‪ )Secure Electronic Transaction (SET-2‬وتم تطوير هذه‬
‫اللية بالتعاون ما بين عدة قطاعات خاصة ‪ ،‬ومن أشهر هذه‬
‫القطاعات ‪ ،‬كل من ‪ Visa International‬و ‪MasterCard‬‬
‫‪ International‬وشركة ‪ IBM‬و ‪ Microsoft‬و ‪ Oracle‬و‬
‫‪ Netscape‬وأخرين‪ .‬وقد زودت هذه اللية مستخدمي بطاقات‬
‫الئتمان بعدة وسائط ووسائل للدفع عبر الشبكة بواسطة بطاقاتهم‬
‫من خلل شركة أخرى تملك آلية مساندة ‪Open Profiling‬‬
‫‪ )Standards (OPS‬لمساعدة المستهلك على التحكم بالمعلومات‬
‫الخاصة به ‪ ،‬والمبعوثة عبر شبكة النترنيت‪.‬‬
‫‪ )Platform for Privacy Preferences (P3P-3‬وهي عبارة‬
‫عن آلية تسمح لصحاب المواقع على الشبكة بشرح وتزويد آليات‬
‫الحماية الخاصة بهم وتسمح للمستخدم بوضع الشروط الخاصة به‬
‫وتحديد الجهات التي لها الصلحية بالدخول لبياناته‪.‬‬
‫‪ E-mail Preference Services-4‬والتي تم إنشاؤها بواسطة‬
‫قطاع خاص أمريكي ‪ ، Direct Marketing Group‬وتسمح‬
‫هذه اللية للمستهلك بحرية الختيار عند فتحه لبريد إلكتروني‬
‫خاص به بان ل يدرج بريده عبر الشبكة‪.‬‬

‫‪103‬‬
 ‫دور المدققين والمحاسبين‬
‫قد يكون دور كل من المدقق والمحاسب من أوضح الدوار بما يخص تقنية‬
‫التجارة اللكترونية ‪ ،‬فمن جهة فإن دور المحاسب محدد بالتأكد بأن النظام المحاسبي‬
‫العامل بالشركة ‪ ،‬نظام محمي بشكل جيد وأن مخرجاته ذات مصداقية عالية ‪،‬‬
‫وخصوصا المخرجات الخاصة بالتعاملت عبر التجارة اللكترونية ‪ ،‬ومن جهة‬
‫أخرى فالمدقق مسؤول عن إبداء رأيه بنظام الشركة وبالسياسات المتبعة من قبلها‬
‫لتوفير الخصوصية المنشودة للمستهلك وحماية نفسها من الختراقات وبالتالي توفير‬
‫معلومات موثقه وملئمة للجهات المعنية ‪.‬‬

‫بحصث بعنوان "الطار الفاعصل لتقييصم سصياسة ومواضيصع البنيصة التحتيصة الخاصصة‬
‫بالتجارة اللكترونيصة"‪An Effective Framework for Evaluating 1‬‬
‫‪.Policy and Infrastructure Issues for E-Commerce‬‬
‫ذ كر في هذا الب حث أن الن مو المت سارع بالتعا مل بالتجارة اللكترون ية ‪ ،‬و ما‬
‫صـاحبه مـن مخاطـر كثيرة ‪ ،‬جعلت دول كثيرة تنشـئ خططا بعدة مسـتويات وأن‬
‫تصدر عدة تشريعات ‪ ،‬ولكن المشكلة تكمن في صعوبة تقييم هذه الخطط‪.‬‬

‫رغم أن البحث قام بتحليل تلك الخطط من الجانب القتصادي ‪ ،‬إل أن الملفت‬
‫للنظر ‪ ،‬كان تلك السياسة الخاصة بالتجارة اللكترونية ‪ ،‬والتي طرحتها حكومـة‬
‫الوليات المتحدة المريكية بهدف تشريعها في مطلع شهر يوليو لعام ‪1997‬‬
‫والمسماة بإطار التجارة اللكترونية ‪A Framework for Electronic‬‬
‫‪ ، Commerce‬والتي ركزت على ضرورة مساهمة النترنيت في دمقرطة المجتمع‬
‫‪ ، Democratize Society‬وفتح السواق ‪ ،‬وزيادة خيارات المستهلك‪.‬‬

‫‪1‬‬
‫‪C Standing, & Benson S, An Effective Framework for Evaluating Policy and Infrastructure Issues for E-‬‬
‫‪Commerce, Information Infrastructure & Policy, 2000, Vol. 6, Issue 4, Page 227, www.ebscohost.com‬‬

‫‪104‬‬
‫تضمنت السياسة دور الحكومة في تبني منهجية السوق ‪Market Oriented‬‬
‫‪ ، Approach‬وذلك لغايات العولمة ‪ ،‬والشفافية وإنشاء بيئة تخمينية ‪Predictable‬‬
‫‪ Environment‬لمساندة بيئة العمال بالدولة‪ .‬ومن أهم مبادئ تلك السياسة‪:‬‬
‫‪-1‬أن يتولى القطاع الخاص زمام المور‪.‬‬
‫‪-2‬تقليل تدخلت الحكومة قدر المكان في الممارسات والجراءات‪.‬‬
‫‪-3‬اقتصار دور الحكومة على حماية المستهلك وتزويده ببيئة قانونية‬
‫ذات طابع بسيط ‪ ،‬وآمن‪.‬‬
‫‪-4‬توفير مبادئ ضريبية محلية مستقرة عبر الوليات ‪ ،‬وأخرى‬
‫عالمية وبالتعاون مع بقية الدول‪.‬‬
‫‪-5‬إنشاء اتفاقيات حول التبادل عبر شبكة النترنيت والحد من‬
‫المعوقات‪.‬‬
‫‪-6‬العمل على إنشاء سوق عالمي‪.‬‬
‫‪-7‬حماية حقوق الملكية‪.‬‬
‫‪-8‬العمل على الحد من تضارب السيطرة على السماء‬
‫التجارية‪.‬‬
‫‪-9‬العمل على وقف التمييز الضريبي على شبكة‬
‫النترنيت‪.‬‬
‫‪-10‬توثيق العمليات‪.‬‬
‫‪-11‬العمل على إيجاد أنظمة تسعير وتصفية لمحتويات النترنيت‪.‬‬
‫‪-12‬العمل على تحسين آلية الحماية المتعلقة بالعمليات عبر النترنيت‪.‬‬
‫وقد تم فعل تشريع تلك السياسة في نوفمبر من عام ‪ ، 1998‬وتم العلن‬
‫بأن الغايات الساسية لهذه السياسة تنحصر في حماية المستهلك من الحتيالت ‪،‬‬
‫وتحسين البنية التحتية للتصالت ‪ ،‬وتشجيع كل من الشركات الصغيرة ‪ ،‬والدول‬
‫النامية على الدخول في معترك النترنيت والتجارة اللكترونية‪.‬‬

‫‪105‬‬
 ‫وبالنظر للسياسة الولى والرابعة والعاشرة والثانية عشر‪ ،‬يرى الباحـث‬
‫بأن مهنة المحاسبة هي من أفضل الجهات التي يمكن أن تساهم بتحقيقها‪ ،‬ولو دققنا‬
‫بعض الشيء لوجدنا أن معهد المحاسبين القانونيين المريكي كان من السباقين في‬
‫تفعيل هذه السياسات ‪ ،‬وحتى قبل أن تقر من قبل الحكومة المريكية ‪ ،‬وهذا إن دل‬
‫على شيء‪ ،‬فإنما يدل على تعلق المر بمهنة المحاسبة وبشكل مباشر‪ ،‬ويستطيع‬
‫الباحث القول بأنه ورغم النجازات الكبيرة التي تحققت ‪ ،‬إل أننا ل نزال في بداية‬
‫الطريق‪.‬‬
‫مقالة بعنوان "هيئة الوراق المالية تراقب عن كثب إيرادات بيع الكتب عبر التجارة‬
‫اللكترونية"‪ ، SEC Eyes E-Commerce Books 1‬تذكر الكاتبة أن لجنة‬
‫الوراق المالية تراقب وبحذر الممارسات المحاسبية المتبعة من قبل بعض شركات‬
‫بيع الكتب عبر النترنيت ‪ ،‬وقد يؤثر تشدد اللجنه في حالة أنها قررت ذلك على‬
‫نتائج إيرادات الشركات ‪ ،‬ونتائج الرباح ‪ ،‬وقد يبلغ التأثير ذروته على تقييم سوق‬
‫الوراق المالية‪.‬‬

‫علما أن أول عملية محاسبية متعلقة بالبيع عبر التجارة اللكترونية تمت من‬
‫قبل شركة برايسلين لبيع الكتب عبـر شبكة النترنيت ‪، .Priceline.com Inc‬‬
‫ومن ثم تبعتها شركة امزون ‪..Seattle-based Amazon.com Inc‬‬

‫وقد ذكر السيد ‪( Brian EK‬المتحدث باسم شركة برايسلين) أن شركته تطبق في‬
‫نظام محاسبتها مبادئ المحاسبة المقبولة عموما ‪ ،‬وكل ما يعني شركته هو الشراء‬
‫والبيع كمثيلتها من الشركات ‪ ،‬وعند سؤاله عن المخاطر المرافقة للتجارة‬
‫اللكترونية ووقعها على المستهلك ‪ ،‬أجاب‪" :‬لو نظرتم إلى كشف حساب بطاقة‬

‫‪1‬‬
‫‪Maria Trombly, SEC Eyes E-Commerce Books, Computerworld, 3/6/2000, Vol. 34, Issue 10, Page 6,‬‬
‫‪www.ebscohost.com‬‬

‫‪106‬‬
 ‫ائتمان المتعامل معنا ‪ ،‬فلن تجدوا اسم شركة طيران ولكنكم ستجدون اسم شركتنا ‪،‬‬
‫فل تقلقوا" والمقصود برده أن شركته ل تعمل بأسلوب وكلء شركات الطيران الذين‬
‫يتقاضون عمولت عن بيع التذاكر؛ وبالتالي أسماؤهم لن تظهر بكشوف حساب‬
‫مشتري تذاكر الطيران ‪ ،‬بل هي التي تملك السلعة ‪ ،‬وبالتالي تتقاضى ثمنها كامل‪.‬‬

‫وعند سؤال مجلس معايير المحاسبة المالية المريكي ‪ FASB‬عن الموال التي‬
‫تجنيها شركات الكتب ‪ ،‬قال‪" :‬إن الموال التي تتقاضاها شركات الكتب مقابل بيع‬
‫سلعها قد تشابه إلى حد كبير مفهوم العمولت التي يتقاضاها وكلء شركات‬
‫الطيران"‪.‬‬
‫وأضاف مجلس معايير المحاسبة المالية المريكي ‪ FASB‬القول‪" :‬بأنه قريبا‬
‫سيلزم الشركات إجراء بعض الفحوص قبل القرار باعتبار تلك الموال إيرادات ‪،‬‬
‫والتي قد تتضمن بأن الشركات فعل تستطيع تقدير مخاطر الئتمان ‪ ،‬أو أنها تدعي‬
‫بما ل تستطيع تحقيقه لغراض زيادة مبيعاتها"‪.‬‬

‫وفي نهاية المقالة تتخوف الكاتبة بأنه وفي حالة صدور أي معيار من قبل‬
‫مجلس معايير المحاسبة المالية المريكية ‪ FASB‬للية العتراف بإيرادات التجارة‬
‫اللكترونية ‪ ،‬قد يلزم الشركات المتعاملة بها من إعادة تعديل قوائم دخولها بأثر‬
‫رجعي ‪ ،‬وبالتالي تأثر أسعار أسهمها بالسوق المالي بشكل سلبي ؛ مما قد يجعل‬
‫المستثمرين بتلك الشركات يتجنبون الستثمار مستقبل بالشركات التي تتعامل‬
‫بالتجارة اللكترونية ‪ ،‬مما قد يؤدي إلى اندثار هذه التقنية الحديثة وخسران القتصاد‬
‫بشكل عام للفوائد الكبيرة المرجوة منها‪.‬‬

‫ويود الباحث أن ينوه ‪ ،‬وبأنه ولغاية إعداد هذه الدراسة ‪ ،‬لم يصدر مجلس‬
‫معايير المحاسبة المالية المريكي ‪ FASB‬أي معيار خاص يعالج آلية العتراف‬

‫‪107‬‬
 ‫باليرادات المتولدة عبر قنوات التجارة اللكترونية ‪ ،‬ويعتقد أن السبب يعود‬
‫للصعوبات الكبيرة الناتجة عن غياب التوثيق المستندي ‪ ،‬ول تزال الدراسات‬
‫الخاصة بهذا الموضوع دراسات حديثة جدا ‪ ،‬وقد يلزم عقد من الزمن على القل‬
‫للتوصل إلى نتائج جازمة‪.‬‬

‫ويرى الباحث بأن تركيزه في هذه الدراسة سوف ينصب حول تطوير نظام‬
‫ربط بين نظام المعلومات المحاسبي وموقع التصفح الخاص بالشركة عبر النترنيت؛‬
‫لتوفير كل من المان والموثوقية والتوكيدية ‪ ،‬والذي قد يساهم مستقبل بإيجاد آليات‬
‫معينة للعتراف باليراد المتولد عبر هذه التقنية الحديثة‪.‬‬

‫تحليل المشروع المريكي الكندي المشترك‬

‫لقد كان معهد المحاسبيين القانونيين المريكي من الهيئات المحاسبية السباقة‬

‫في مضمار التجارة اللكترون ية ‪ ،‬وبالتعاون مع مع هد المحا سبين القانوني ين الكندي‬
‫انشـأ مشروعـا مشتركـا فـي مطلع عام ‪ ،1997‬وقام المعهدان بتشكيـل فريـق عمـل‬
‫حددت مها مه الولية با ستقصاء حا جة ال سوق لخدمات التوكيد ‪( Assurance‬تدقيق‬
‫صفحات مواقع الشركات على شبكة النترنيت) ‪ ،‬وكما سبق وذكر في بداية الفصل‬
‫فلقد نجحت اللجنة في حصر اهتمامات المتعاملين‪.‬‬

‫وبناءً على نتائج اللجنـة قام المعهدان ومـن خلل المشروع المشترك بينهمـا‬
‫بإنشاء خدمـة تدقيـق جديدة تـم التفاق على تسـميتها (موثوقيـة الموقـع ‪)Webtrust‬‬
‫وهـي عبارة عـن منـح الشركـة الراغبـة بالحصـول على هذه الخدمـة الجديدة ختما‬

‫‪108‬‬
‫إلكترون يا يو ضع على صفحة موقع ها بح يث يبين للمتعا مل مع ها بأن موقع ها ي تم‬
1
.‫تدقيقه من قبل أحد منتسبي المعهدين‬

‫ بدأ المعهدان بإصـدار عدد مـن الصـدارات المعدلة بالشكـل‬1999 ‫فمنـذ مطلع عام‬
2
:‫والتسلسل التالي‬
1- Webtrust Principles and Criteria for Business-to-Consumer
Electronic Commerce. October 15, 1999, Version 2.0.
2- Webtrust Program, Availability Principle and Criteria. January
1, 2001, Version 3.0.
3- Webtrust Program, Integrity Principle and Criteria. January 1,
2001, Version 3.0.
4- Webtrust Program, Security Principle and Criteria. January 1,
2001, Version 3.0.
5- Webtrust Program, Practitioner Guidance on Scoping and
Reporting Issues. January 1, 2001, Version 3.0.
6- Exposure Draft, AICPA/CICA, Trust Services Principles and
Criteria, Incorporating Systrust and Webtrust, July 1, 2002,
Version 1.0.

‫ والسـبب يعود إلى أن‬، ‫وقـد اختار الباحـث تحليـل الصـدار المعدل الخيـر‬
‫الصـدار الخيـر يعـد إصـدارا شامل لكـل الصـدارات السـابقة والمعمول بـه حاليـا‬
.‫ولغاية إعداد هذه الدراسة‬

1
Appalraju Yogen, Accountants Chip In To Build Trust In E-Commerce, Computing Canada, 11/23/98,
Vol. 24, Issue 44, Page 28, www.ebscohost.com.
2
American Institute of Certified Public Accountants, Inc. www.aicpa.rog.

109
 ‫مسودة المشروع المشترك بين معهد المحاسبين القانونيين المريكي ومعهد‬
‫المحاسبين القانونيين الكندي‪ ،‬حول مبادئ ومعايير خدمات التوثيق التي تساهم في‬
‫‪1‬‬
‫توفير الثقة لكل من النظام ومواقع التصفح عبر النترنيت‪/‬الصدار الخير‬
‫يبدأ ال صدار بإعطاء مل خص ب سيط بالقول "إن مجلس التطو ير التا بع لك ـل‬
‫مـن معهـد المحاسـبين القانونييـن المريكـي ومعهـد المحاسـبين القانونييـن الكندي قد‬
‫وضع إطار عمل لتطوير خدمة جديدة؛ وذلك استجابة لحاجة السوق الجديدة في ظل‬
‫بيئة العمال الجديدة"‪.‬‬
‫مبادئ ومعايير خدمات الموثوقية‪Trust Services Principles & Criteria 2‬‬

‫ل قد تم ا ستعراض تعار يف كل من المبادئ والجراءات المقتر حة بالمشروع‬

‫بشكل مختصر كالتالي‪:‬‬
‫المبادئ ‪Principles‬‬
‫فيما يلي المبادئ التي طورها مجلس التطوير المشترك للمعهدين‪:‬‬
‫‪-1‬الحما ية (‪ ، )Security‬وي نص على أن يكون النظام محميا من‬
‫الختراقات غير المصرح بها‪.‬‬
‫‪-2‬جاهز ية النظام (‪ ، )Availability‬وي نص على أن يكون النظام‬
‫جاهزا للعمل وفقا للسياسات الموضوعة‪.‬‬
‫‪-3‬تكامل المعالجة (‪ ، )Processing Integrity‬وينص على انه‬
‫قد تم التأكد من أن جميع الجراءات قد تم تجهيزها وأنها توفر‬
‫معلومات دقيقة ووقتية ومصرح بها‪.‬‬
‫‪-4‬الخ صوصية على الشب كة (‪ ، )Online Privacy‬وت نص على‬
‫أن الستخدام والف صاح عن جميع المعلومات ال تي تم الحصول‬

‫‪1‬‬
‫‪Exposure Draft, AICPA/CICA, Trust Services Principles and Criteria, Incorporating Systrust and‬‬
‫‪Webtrust, July 1, 2002, Version 1.0, American Institute of Certified Public Accountants, Inc.‬‬
‫‪www.aicpa.rog. Page (1).‬‬
‫‪2‬‬
‫‪Exposure Draft, AICPA/CICA, Ibid.‬‬

‫‪110‬‬
‫عليهـا عـبر التعامـل بالتجارة اللكترونيـة مـن خلل شبكـة‬
‫النترنيـت ‪ ،‬يتماشـى مـع سـياسات الشركـة الموضوعـة لتأميـن‬
‫الخصوصية للمتعاملين معها‪.‬‬
‫‪-5‬السصرية (‪ ، )Confidentiality‬وتنـص على أن سـرية جميـع‬
‫المعلومات ‪ ،‬تتماشـى مـع سـياسات الشركـة الموضوعـة لتأميـن‬
‫سرية المعلومات‪.‬‬
‫المعايير ‪Criteria‬‬
‫وفيما يلي المعايير المرتبطة بكل من المبادئ أعله‪:‬‬
‫‪-1‬السياسات (‪ ، )policies‬وتنص على‬
‫أنه يجب على الشركة تعريف وشرح‬
‫ـع المبادئ‬
‫ســياساتها المتماشيــة مـ‬
‫المنصوص عليها في المشروع‪.‬‬
‫‪-2‬شبكات الربص‬
‫صصصصصصصصصصصصط(‬
‫‪ ، )Communications‬وتنـ‬
‫ــص‬
‫بأنـه يجـب علــى الشركـة ربـط‬
‫ســياساتها المعلنــة بالمســتخدمين‬
‫المرخصين‪.‬‬
‫‪-3‬الجراءات (‪، )Procedures‬‬
‫وت نص على أ نه ي جب على الشرك ـة‬
‫اتباع الجراءات اللز مة ال تي تؤهل ها‬
‫لتحق يق أهداف ها المتماش ية مع أهداف ها‬
‫المعلنة‪.‬‬
‫‪-4‬المراقبصة (‪ ، )Monitoring‬وتنـص‬
‫على أنـه يجـب على الشركـة مراقبـة‬

‫‪111‬‬
 ‫ـا بحذر؛ وذلك لتخاذ الجراء‬
‫نظامهـ‬
‫اللزم عنـد الضرورة للتماشـي مـع‬
‫سياساتها المعلنة‪.‬‬

‫ويود الباحـث أن يشيـر إلى أن كل مـن المعاييـر الرئيسـية المذكورة أعله‬

‫تحتوي على إجراءات فرعيـة ‪ ،‬وذلك مـن أجـل أن تتماشـى مـع المبادئ المقترحـة‬
‫وبالشكل التالي‪:‬‬
‫‪-1‬السصياسات (‪ )policies‬والتـي يجـب أن يرافقهـا‬
‫ثلثة إجراءات فرعية كالتالي‪:‬‬
‫‪-‬وضع السياسات والمصادقة عليها‪.‬‬
‫‪-‬ملءمة السياسات للقوانين المعمول بها‪.‬‬
‫‪-‬تحديد مسؤوليات واضعي السياسات‪.‬‬

‫‪-2‬شبكات الربصصط (‪ )Communications‬والتــي‬

‫يجب أن يرافقها خمسة إجراءات فرعية كالتالي‪:‬‬
‫‪-‬الفصاح عن الشبكات‪.‬‬
‫‪-‬الفصاح عن السياسات المتبعة في الشبكات وعن المرخص‬
‫لهم باستخدامها‪.‬‬
‫‪-‬تحديد الشخاص المؤهلين للتعامل مع الشبكات‪.‬‬
‫‪-‬توضيـح الليـة التـي تمكـن المسـتخدم مـن طلب المسـاعدة‬
‫مـن الشركة بخصوص أي موضوع يعنيه‪.‬‬
‫‪-‬توضيح التغيرات التي يمكن أن تحدث لشبكات الربط وبيان‬
‫أثرها على المستخدم لها‪.‬‬
‫‪-3‬الجراءات (‪ )Procedures‬والتــي يجــب أن‬
‫يرافقها سبعة إجراءات حماية فرعية كالتالي‪:‬‬

‫‪112‬‬
‫‪-‬و ضع إجراءات منطق ية للم صرح ل هم بدخول النظام وعدم‬
‫جعل سلطتهم مطلقة‪.‬‬
‫‪-‬و ضع إجراءات ملمو سة للم صرح ل هم بدخول النظام وعدم‬
‫جعل سلطتهم مطلقة‪.‬‬
‫‪-‬وضع أسس حماية منطقية لمنع غير المصرح لهم بدخول‬
‫النظام‪.‬‬
‫‪-‬و ضع أ سس حما ية منطق ية لم نع البرا مج المحو سبة وغ ير‬
‫المصرح لها بدخول النظام‪.‬‬
‫‪-‬وضع أسس حماية منطقية تمنع وصول معلومات العمليات‬
‫التي تتم عبر التعامل إلى الجهات غير المصرح لها‪.‬‬
‫‪-‬تعر يف وتوض يح الجراءات ال تي ستتخذ في حالة محاولة‬
‫اختراق النظام من قبل الغير‪.‬‬
‫‪-‬وضع أسس تصحيح سير العمليات التي لم تكتمل‪.‬‬

‫‪-4‬المراقبة (‪ )Monitoring‬والتي يجب أن يرافقها‬

‫ثلثة إجراءات فرعية كالتالي‪:‬‬
‫‪-‬تقييم أداء آلية المراقبة‪.‬‬
‫‪-‬تعريف وتحديد البدائل للمراقبة إن وجدت‪.‬‬
‫‪-‬مراقبـة التغيرات التـي تحدث على التكنولوجيـا‬
‫وبيئتها‪.‬‬
‫‪1‬‬
‫تعليمات إضافية‬
‫قبـل الشروع فـي شرح المشروع وتحليله بالتفصـيل ل بـد مـن التعرف على‬
‫بعض المصطلحات والتعاريف الرئيسية ‪ ،‬والتي تعد ضرورية جدا؛ وذلك تماشيا مع‬
‫الضرورات التي تقتضيها حداثة القتراح‪.‬‬

‫‪1‬‬
‫‪Exposure Draft, AICPA/CICA, Ibid.‬‬

‫‪113‬‬
 ‫أول‪ :‬السياسات ‪Policies‬‬
‫إن اسـتخدام مصـطلح السـياسات فـي المشروع يعنـي تلك البيانات الخطيـة‬
‫المصدرة والم صادق عليها من ق بل الشر كة ‪ ،‬والمتضم نة ل كل من توجهات ها‬
‫وأهدافهـا ‪ ،‬وتحديـد المسـؤولية الخاصـة بالعامليـن فيهـا ‪ ،‬والمعاييـر العمليـة‬
‫الضروريـة والواجـب اتباعهـا خلل تنفيـذ العمليات بشكـل عام وفـي التجارة‬
‫اللكترونية بشكل خاص‪.‬‬

‫ثانيصا‪ :‬التسـاق فـي التعليمات والقوانيـن الممكـن تطبيقهـا ‪Consistency with‬‬

‫‪Applicable Laws and Regulations‬‬
‫يجب عند وضع السياسات الضرورية؛ كي تتماشى مع المبادئ والجراءات‬
‫المقترحة التقيد والثبات وبشكل تام بالقوانين والتعليمات المعمول بها في البيئة‬
‫المحيطة وضمن التفاق المبرم بين الشركة والمدقق الذي يقوم بعملية تدقيق‬
‫موقع الشركة على شبكة النترنيت وإضفاء صفة التوكيد عليه‪.‬‬

‫ثالثا‪ :‬النظام ‪System‬‬

‫يتكون النظام من خم سة أجزاء رئي سية‪ ،‬الغا ية من ها الع مل على تحق يق هدف‬
‫معيـن تـم تحديده مسـبقا‪ .‬ويقتصـر عمـل النظام الخاص بالتجارة اللكترونيـة‬
‫وبشكل أساسي على تحويل وترحيل المدخلت إلى مخرجات ضمن المكونات‬
‫الخمسة التالية‪:‬‬

‫‪-1‬البنية التحتية ‪ ، Infrastructure‬وهي عبارة عن مكونات النظام‬

‫الماديـة الملموسـة بمـا فيهـا مـن أجزاء تقديـم الخدمـة ‪ ،‬والهياكـل‬
‫الرئي سية ‪ ،‬وشبكات الر بط ‪ ،‬وأي أجزاء أخرى ضرور ية متعل قة‬
‫بإتمام العمليات‪.‬‬

‫‪114‬‬
 ‫‪-2‬البرمجيات ‪ ، Software‬وهـي عبارة عـن البرامـج الضروريـة‬
‫لعملية تشغيل النظام‪.‬‬
‫‪-3‬الشخاص ‪ ، People‬والمقصـود هنـا هـم الشخاص الواجـب‬
‫توفيرهـم لتشغيـل النظام ومراقبتـه‪ :‬كالمـبرمجين والمشغليـن‬
‫ومستخدمي النظام والداريين‪.‬‬
‫‪-4‬الجراءات ‪ ، Procedures‬و هي عبارة عن التعليمات الخا صة‬
‫بخطوات البرمجـة والسـتخدام الضروريـة لعمليـة تشغيـل النظام‬
‫وصيانته‪.‬‬
‫‪-5‬البيانات ‪ ، Data‬وهي المعلومات المنصوص بإدخالها في النظام‬
‫والتـي تتضمـن معلومات آليـة التحويـل والملفات وقواعـد البيانات‬
‫والجداول المختلفة‪.‬‬

‫مقدمة عن اللية المتبعة لفهم المبادئ والجراءات المقترحة‬

‫سوف تتض من الجداول اللح قة شر حا مف صل ل كل من المبادئ والجراءات‬
‫الخاصة بخدمة الموثوقية بحيث إن الجداول مكونة من عمودين رئيسين ‪ ،‬سيتضمن‬
‫العمود الول الجراءات الوا جب اتخاذ ها لت طبيق المبدأ ‪ ،‬و سيتضمن العمود الثا ني‬
‫توضيحا لدوات السيطرة‪.‬‬

‫‪-1‬مبدأ الحماية (‪)Security Principle‬‬

‫معايير حماية النظام من الختراقات غير المصرح بها‬
‫‪ -1‬السياسات ‪Polices‬‬
‫أدوات السيطرة‬ ‫الجراءات‬ ‫ت‬
‫أن تكون سـياسات الحمايـة قـد وضعـت يجــب أن تكون إجراءات تطويــر وامتلك‬ ‫‪1.1‬‬
‫وتمـت مراجعتهـا والمصـادقة عليهـا مـن النظام والمتضمنـة لكـل مـن تحديـد وتوثيـق‬
‫قبـل مجموعـة مـن الشخاص الذيـن تـم الشخاص المصـرح ل هم باسـتخدام النظام قـد‬

‫‪115‬‬
 ‫اكتملت‪.‬‬ ‫توكيلهم بمهمة وضعها ومراجعتها‪.‬‬
‫أن تكون إجراءات تحديد مستويات الستخدام‬
‫لكل من مصرح له بذلك قد وثقت‪.‬‬
‫أن يقوم مسـؤول عمليـة الحمايـة بمراجعـة‬
‫ـنوي وطلب‬
‫ـل سـ‬
‫ـة بشكـ‬
‫ـياسات الحمايـ‬
‫سـ‬
‫التعديلت الضرورية عند الحاجة‪.‬‬
‫ي جب أن تحتوي سياسات الشر كة لعمل ية أن تقوم الشركــة بتوثيــق كــل مــا جاء‬ ‫‪1.2‬‬
‫ـي العمود‬
‫ـا فـ‬
‫ـب اتباعهـ‬
‫بالجراءات الواجـ‬ ‫حماية النظام التالي‪:‬‬
‫اليمن‪.‬‬ ‫‪-‬تعريـف وتوثيـق متطلبات الحمايـة‬
‫للمستخدمين‪.‬‬
‫‪-‬تعريـف طبيعـة تأهيـل عمليـة دخول‬
‫النظام‪.‬‬
‫ـر‬
‫ـع الدخول غيـ‬
‫ـة منـ‬
‫ـف آليـ‬
‫‪-‬تعريـ‬
‫المصرح له للنظام‪.‬‬
‫‪-‬تعريـف آليـة إدخال مسـتخدمين جدد‬
‫وم نع ا ستخدام م ستخدمين ل يراد ل هم‬
‫الستمرار باستخدام النظام‪.‬‬
‫‪-‬تحديد المسؤولين عن حماية النظام‪.‬‬
‫‪-‬تحديد المسؤولين عن صيانة وتحديث‬
‫النظام‪.‬‬
‫‪-‬تحديـد وتقييـم مكونات النظام قبـل‬
‫وضعه في الخدمة‪.‬‬
‫‪-‬تحديـد الليـة المتبعـة فـي حـل أي‬
‫مشكلة حماية عند ورودها‪.‬‬
‫‪-‬الجراءات المتبعــة للتعامــل مــع‬
‫الختراقات لعمليـة الحمايـة فـي حالة‬
‫حدوثها‪.‬‬
‫‪-‬وضـع مخصـصات لعمليـة التدريـب‬
‫الضروريــة والخاصــة بســياسات‬

‫‪116‬‬
 ‫الحماية‪.‬‬
‫أن يتـم تعييـن مسـؤولين عـن وضـع أن يتم استحداث منصب تحت مسمى مسؤول‬ ‫‪1.3‬‬
‫سياسات حما ية النظام وا ستبدالهم بش كل قسم المعلومات‪.‬‬
‫مع ضرورة الحصول على حق ملكية كل من‬ ‫دوري‪.‬‬
‫البيانات والبرامج وعمليات التحويل‪.‬‬
‫‪-2‬شبكات الربط ‪Communications‬‬
‫‪ 2.1‬أن تكون الشركة قد عرفت شبكات الربط أن تكون الشركـة قـد أنشأت موقـع تجارتهـا‬
‫اللكتروني على شبكة النترنيت‪.‬‬ ‫بالنظام‪.‬‬
‫أن تكون الشركــة قــد وضعــت وصــفا‬
‫للمستخدمين بشبكة الربط‪.‬‬
‫أن تكون تعهدات الشركـة بعمليـة حمايـة أن يتم العلن عن تعهدها بحماية خصوصية‬ ‫‪2.2‬‬
‫زبائن ها والم ستخدمين الخارج ين على موقع ها‬ ‫نظامها واضحة ومفصلة للمستخدمين‪.‬‬
‫فـي شبكـة النترنيـت‪ ،‬وأن يكون هذا التعهـد‬
‫من ضمن اتفاقيات التعامل‪.‬‬
‫أن تكون مسؤولية حماية النظام مربوطة جعـل فريـق الشبكات مسـؤول بشكـل مباشـر‬ ‫‪2.3‬‬
‫بشبكـة اتصـال مـع الشخاص المعنييـن عـن تنفيـذ وتفعيـل سـياسات الحمايـة ضمـن‬
‫توجيهات مسؤول المعلومات‪.‬‬ ‫لوضع أو تعديل سياسات الحماية‪.‬‬
‫يجـب ربـط آليـة التبليـغ عـن اختراقات ي تم تفع يل ذلك بو ضع آل ية معي نة في مو قع‬ ‫‪2.4‬‬
‫النظام مباشرة مــع المصــرح لـــهم الشركة على شبكة النترنيت يسمح للمستخدم‬
‫بالبلغ عـن الختراقات التـي تحدث للنظام‪،‬‬ ‫بالتعامل ومعالجة الختراقات‪.‬‬
‫ويجـب أن تكون آليـة البلغ هذه مربوطـة‬
‫بشكـل مباشـر مـع الشخاص المصـرح لهـم‬
‫بمعالجة تلك الختراقات‬
‫يجـب ربـط التغيرات التـي تحدث على ويتـم ذلك فـي الغالب بواسـطة العلن عـن‬ ‫‪2.5‬‬
‫نظـم الحمايـة بيـن كـل مـن الدارة التغيرات التـي يمكـن أن تحدث لنظـم حمايـة‬
‫الشر كة والتزامات ها تجاه الزبائن على موقع ها‬ ‫والمستخدم‪.‬‬
‫على شبكـة النترنيـت مـع توضيـح الليات‬
‫الجديدة لتلك التغييرات‪.‬‬
‫‪ -3‬الجراءات ‪Procedure‬‬
‫‪ 3.1‬يجــب أن يحوي نظام الشركــة على ضرورة ح صول كل م ستخدم جد يد على أداة‬
‫تعريـف ورقـم سـري خاص بـه للتسـجيل‬ ‫إجراءات منطقية كالتالي‪:‬‬

‫‪117‬‬
 ‫بالنظام‪.‬‬ ‫‪-‬التسجيل والسماح لمستخدمين جدد‪.‬‬
‫ضرورة ا ستخدام الم ستخدم لدوات التعر يف‬ ‫‪-‬تعريف شروط المستخدم الجديد‪.‬‬
‫والرقام السرية للدخول إلى النظام‪.‬‬ ‫‪-‬تحديد آلية تغيير أو تحديث معلومات‬
‫تمكيـن المسـتخدم بتغييـر أو تعديـل معلوماتـه‬ ‫المستخدم‪.‬‬
‫ولكـن بعـد أن يكون قـد حصـل على أداة‬ ‫‪-‬تحد يد آل ية شروط ال سمـاح بالدخول‬
‫تعريف ورقم سري خاص به وبشكل مسبق‪.‬‬ ‫إلى النظام‪.‬‬
‫إنشاء نظام خاص تحدد بــه آليــة وشروط‬ ‫‪-‬تحديد صلحيات المستخدمين‪.‬‬
‫الدخول‪.‬‬ ‫‪-‬تحذيـر الدخول لبيانات غيـر خاضعـة‬
‫ـم‬
‫ـموح لهـ‬
‫ـد الشخاص المسـ‬
‫ضرورة تحديـ‬ ‫للتعديل‪.‬‬
‫بالو صول للمعلومات غ ير الخاض عة للتعد يل‬ ‫‪-‬تحذيــر الدخول إلى مناطــق النظام‬
‫من قبل المستخدمين‪.‬‬ ‫الحسـاسة مثـل أرقام التشغيـل السـرية‬
‫جعـل الدخول إلى مناطـق النظام الحسـاسة‬ ‫الرئيسية وأنظمة الحماية‪.‬‬
‫مقصـور على فريـق تشغيـل الشبكات وتحـت‬
‫مراقبة مسؤول المعلومات‪.‬‬
‫يجــب أن يحتوي النظام على إجراءات ي جب أن يتـم الدخول إلى الغرف ال تي تحوي‬ ‫‪3.2‬‬
‫فعليـة وملموسـة تحدد آليـة الحـد مـن تلك الجراءات عـن طريـق بطاقات خاصـة‬
‫ـب أن تحوي تلك‬
‫ـا يجـ‬
‫ـرية وكمـ‬
‫وصـول غيـر المصـرح له إلى الجزاء وبأرقام سـ‬
‫الخاصـة بمنـع الختراقات ‪ Firewalls‬الغرف على (كمرات) مراقبة‪.‬‬
‫والتي تنشأ بواسطتها التعليمات‪.‬‬

‫ــب أن يحوي النظام على إجراءات ويتـم ذلك بوضـع آليـة توقـف عمليـة الدخول‬
‫يجـ‬ ‫‪3.3‬‬
‫حمايـة تحـد مـن الدخول المنطقـي غيـر وتمنعها إذا ما تمت محاولة الدخول لكثر من‬
‫المصرح له إلى مناطق النظام المنطقية‪ .‬ثلث مرات بمعلومات دخول خاطئة‪.‬‬
‫يجـب أن يحوي النظام على آليات تمنـع ويتـم ذلك بالتعاون مـع الشركات المصـنعة‬ ‫‪3.4‬‬
‫دخول الفيروســات والبرامــج غيــر لبرامـج الحمايـة مـن الفيروسـات وتحديثهـا‬
‫بشكل دوري‪.‬‬ ‫المصرح لها‪.‬‬
‫يجــــب أن يحوي النظام على تقنيات ويتـم ذلك مـن خلل الشتراك بإحدى شبكات‬ ‫‪3.5‬‬
‫تكنولوج ية تح مي بيانات المدخلت التـي التشغيـل الخاصـة بحمايـة العمليات التـي تتـم‬
‫على موقـع الشركـة‪ ،‬وتوثيـق ذلك الشتراك‬ ‫تتم خلل إتمام العمليات على الشبكة‪.‬‬

‫‪118‬‬
 ‫بعقود قانونية‪.‬‬
‫يجــب أن يحوي النظام على الجراءات ويتـم ذلك مـن خلل تبنـي الشركـة لمنهجيـة‬ ‫‪3.6‬‬
‫ـة‬
‫ـه وآليـ‬
‫ـة تحدد دورة النظام التشغيليـ‬
‫الخا صة ب كل من عمل ية الت صميم للنظام معينـ‬
‫ـة إدارة البنيــة التملك التي يجب اتباعها وآلية كل من تفعيل‬
‫والتملك والتفعيــل وآليـ‬
‫التحت ية وبرا مج الحما ية وبش كل يتما شى النظام وصـيانته وبشكـل يتماشـى مـع جميـع‬
‫مـع السـياسات الموضوعـة لمنـع الدخول المعلومات التكنولوجية الخاصة به‪.‬‬
‫غير المصرح له‪.‬‬
‫يجــب أن يحوي النظام على الجراءات وذلك بو ضع و صف وظي في مو ثق يحدد به‬ ‫‪3.7‬‬
‫الخاصة بآلية تحديد المسؤوليات المناطة الشخاص المســؤولين عــن تلك العمليات‬
‫ـميم ودرجة ونطاق مسؤولياتهم‪.‬‬
‫ـن تصـ‬
‫ـؤولين عـ‬
‫بالشخاص المسـ‬
‫وتطوير وتفعيل آليات الحماية‪.‬‬
‫ــب أن يحوي النظام على إجراءات وذلك بإنشاء قسم خاص من قبل الدارة العليا‬ ‫يجـ‬ ‫‪3.8‬‬
‫تحدد المصـرح لهـم بفحـص وتوثيـق يناط بـه مهمـة وضـع القوانيـن وتحديـد‬
‫مسؤوليات جميع الوظائف الضرورية‪.‬‬ ‫التغييرات التي تستحدث على النظام‪.‬‬
‫يجــب أن يحوي النظام على الجراءات وذلك بوضع إجراءات موثقة يتم اتباعها عند‬ ‫‪3.9‬‬
‫الخاصـة بآليـة التغييرات الطارئة التـي حدوث أي طارئ‪.‬‬
‫تحدث على النظام‪.‬‬
‫‪ -4‬المراقبة ‪Monitoring‬‬
‫‪ 4.1‬يجـب أن يتـم تقييـم نظام الحمايـة بشكـل بحيـث يقوم فريـق حمايـة المعلومات بمراقبـة‬
‫النظام وتقييمـه بواسـطة عدة وسـائل يتـم‬ ‫دوري ومطابقته بالسياسات الموضوعة‪.‬‬
‫توفيرها من قبل الدارة وبشكل مسبق‪.‬‬
‫وجوب وجود آليـة معينـة تمكـن الشركـة وذلك مـن خلل تحليـل جميـع العمليات التـي‬ ‫‪4.2‬‬
‫مـن خلل مراقبتهـا لنظام الحمايـة التأكـد تتـم مـن خلل النظام وفحصـها بعدة وسـائل‬
‫للوقوف على مدى تمكـن نظام الحمايـة مـن‬ ‫من أنه يؤدي المهام المنوطة به‪.‬‬
‫تحقيق الهداف الموضوعة له‪.‬‬
‫ي جب مراق بة التغيرات التكنولوج ية ال تي ولجـل تحقيـق تلك الغايـة يجـب على الدارة‬ ‫‪4.3‬‬
‫تحدث على بيئة نظام الحمايـة ومواكبتهـا العليـا الخـذ بالحتمالت المسـتقبلية خلل‬
‫وضعها لسياسات الحماية‪.‬‬ ‫بشكل مستمر‪.‬‬

‫‪-2‬مبدأ جاهزية النظام ‪Availability‬‬

‫‪119‬‬
 ‫معايير جعل النظام جاهزا للتفعيل‬
‫‪ -1‬السياسات ‪Polices‬‬
‫‪ 1.1‬أن يتــم إنشاء الســياسات التــي تحدد يجــب أن تكون إجراءات تطويــر وامتلك‬
‫جاهز ية نظام الحما ية والم صادقة علي ها النظام والمتضمنـة لكـل مـن تحديـد وتوثيـق‬
‫وتقييم ها بش كل دوري من ق بل أشخاص الشخاص الم صرح ل هم بج عل النظام جاهزا‬
‫للتشغيل قد وثقت بشكل رسمي‪.‬‬ ‫معينين أو مجموعة محددة‪.‬‬
‫ـل النظام أن تقوم الشركــة بتوثيــق كــل مــا جاء‬
‫ـة جعـ‬‫ـب أن تحتوي عمليـ‬
‫يجـ‬ ‫‪1.2‬‬
‫ـي العمود‬
‫ـا فـ‬
‫ـب اتباعهـ‬
‫جاهزا للعمل وفقا لسياسات حماية النظام بالجراءات الواجـ‬
‫اليمن‪.‬‬ ‫التالي‪:‬‬
‫ـق مفهوم الجاهزيـه‬
‫ـف وتوثيـ‬
‫‪-‬تعريـ‬
‫ـة‬
‫ـياسات الحمايـ‬
‫ـع سـ‬
‫ـة مـ‬
‫المتماشيـ‬
‫للمستخدمين‪.‬‬
‫‪-‬شرح آلية وصلحية الدخول للنظام‪.‬‬
‫‪-‬منـع دخول غيـر المصـرح لهـم إلى‬
‫النظام‪.‬‬
‫‪-‬تعريـف آليـة إدخال مسـتخدمين جدد‬
‫وم نع ا ستخدام م ستخدمين ل يراد ل هم‬
‫الستمرار باستخدام النظام‪.‬‬
‫‪-‬تحديـد المسـؤولين عـن تفعيـل النظام‬
‫وجعله جاهزا للعمل‪.‬‬
‫‪-‬تحديد المسؤولين عن صيانة وتحديث‬
‫النظام‪.‬‬
‫‪-‬تحديـد الليـة المتبعـة فـي حـل أي‬
‫مشكلة تعترض عمليــة جعــل النظام‬
‫جاهزا للعمل عند ورودها‪.‬‬
‫‪-‬مراقبـة إمكانيات النظام فـي تلبيـة‬
‫حاجات الزبائن المتعددة‪.‬‬
‫أن يتـم تعييـن مسـؤولين عـن وضـع أن يتم استحداث منصب تحت مسمى مسؤول‬ ‫‪1.3‬‬
‫سياسات جاهزية النظام واستبدالهم بشكل قسم المعلومات‪.‬‬

‫‪120‬‬
‫مع ضرورة الحصول على حق ملكية كل من‬ ‫دوري‪.‬‬
‫البيانات والبرامج وعمليات التحويل‪.‬‬
‫‪-2‬شبكات الربط ‪Communications‬‬
‫‪ 2.1‬أن تكون الشركة قد عرفت شبكات الربط أن تكون الشركـة قـد أنشأت موقـع تجارتهـا‬
‫اللكتروني على شبكة النترنيت‪.‬‬ ‫بالنظام‪.‬‬
‫أن تكون الشركــة قــد وضعــت وصــفا‬
‫للمستخدمين بشبكة الربط‪.‬‬
‫أن تكون تعهدات الشركـــة بعمليـــة أن يتـم العلن عـن تعهدهـا بإبقاء نظامهـا‬ ‫‪2.2‬‬
‫الجاهزيـه والمرتبطـة بسـياسات حمايـة جاهزا للعمـل وبحمايـة خصـوصية زبائنهـا‬
‫والمسـتخدمين الخارجيـن على موقعهـا فـي‬ ‫نظامها واضحة ومفصلة للمستخدمين‪.‬‬
‫شبكـة النترنيـت وأن يكون هذا التعهـد مـن‬
‫ضمن اتفاقيات التعامل‪.‬‬
‫ــؤولية إبقاء النظام جاهزا جعـل فريـق الشبكات مسـؤول بشكـل مباشـر‬
‫أن تكون مسـ‬ ‫‪2.3‬‬
‫للعمل وبشكل يتماشى مع سياسات حماية عن تنف يذ وتفع يل سياسات الجاهزيـه ضمـن‬
‫ـع توجيهات مسؤول المعلومات‪.‬‬
‫ـال مـ‬
‫ـة اتصـ‬
‫ـة بشبكـ‬
‫النظام مربوطـ‬
‫الشخاص المعينيـن لوضـع أو تغييـر‬
‫سياسات الجاهزيه‪.‬‬
‫يجب ربط آلية التبليغ عن تدني جاهزية ي تم تفع يل ذلك بو ضع آل ية معي نة في مو قع‬ ‫‪2.4‬‬
‫النظام مباشرة مــع المصــرح لـــهم الشركة على شبكة النترنيت يسمح للمستخدم‬
‫بالبلغ عن تد ني جاهز ية النظام وي جب أن‬ ‫بالتعامل ومعالجة المشكلة‪.‬‬
‫تكون آل ية البلغ هذه مربو طة بش كل مبا شر‬
‫مـع الشخاص المصـرح لهـم بمعالجـة تلك‬
‫المشاكل‪.‬‬
‫يجـب وصـل التغيرات التـي تحدث على ويتـم ذلك فـي الغالب بواسـطة العلن عـن‬ ‫‪2.5‬‬
‫آليـة الجاهزيـه بيـن كـل مـن الدارة التغيرات ال تي يم كن أن تحدث لجاهز ية نظام‬
‫الشر كة والتزامات ها تجاه الزبائن على موقع ها‬ ‫والمستخدم‪.‬‬
‫على شبكـة النترنيـت مـع توضيـح الليات‬
‫الجديدة لتلك التغييرات‪.‬‬
‫‪ -3‬الجراءات ‪Procedure‬‬
‫‪ 3.1‬يجــب أن يحوي نظام الشركــة على ضرورة ح صول كل م ستخدم جد يد على أداة‬

‫‪121‬‬
‫تعريـف ورقـم سـري خاص بـه للتسـجيل‬ ‫إجراءات منطقية كالتالي‪:‬‬
‫بالنظام‪.‬‬ ‫‪-‬التسجيل والسماح لمستخدمين جدد‪.‬‬
‫ضرورة اسـتخدام المسـتخدم لدوات تعريـف‬ ‫‪-‬تعريف شروط المستخدم الجديد‪.‬‬
‫معينة وأرقام سرية للدخول إلى النظام‪.‬‬ ‫‪-‬تحديد آلية تغيير أو تحديث معلومات‬
‫تمكيـن المسـتخدم بتغيـر أو تعديـل معلوماتـه‬ ‫المستخدم‪.‬‬
‫ولكـن بعـد أن يكون قـد حصـل على أداة‬ ‫‪-‬تحد يد آل ية شروط ال سمـاح بالدخول‬
‫تعريف ورقم سري خاص به بشكل مسبق‪.‬‬ ‫إلى النظام‪.‬‬
‫إنشاء نظام خاص تحدد بــه آليــة وشروط‬ ‫‪-‬تحديد صلحيات المستخدمين‪.‬‬
‫الدخول إليه‪.‬‬ ‫‪-‬حذر الدخول لبيانات غيـر خاضعـة‬
‫ـم‬
‫ـموح لهـ‬
‫ـد الشخاص المسـ‬
‫ضرورة تحديـ‬ ‫للتعديل‪.‬‬
‫بالو صول للمعلومات غ ير الخاض عة للتعد يل‬ ‫‪-‬حذر الدخول إلى مناطــــق النظام‬
‫من قبل المستخدمين‪.‬‬ ‫الحسـاسة مثـل أرقام التشغيـل السـرية‬
‫جعـل الدخول إلى مناطـق النظام الحسـاسة‬ ‫الرئيسية وانظمة الحماية‪.‬‬
‫مق صورا على فر يق تشغ يل الشبكات وت حت‬
‫مراقبة مسؤول المعلومات‪.‬‬
‫ــب أن يحوي النظام على إجراءات ي جب أن يتـم الدخول إلى الغرف ال تي تحوي‬
‫يجـ‬ ‫‪3.2‬‬
‫فعليـة وملموسـة تحدد آليـة الحـد مـن تلك القطع عن طريق بطاقات خاصة وبأرقام‬
‫وصـول غيـر المصـرح له إلى القطـع سـرية‪ ،‬وكمـا يجـب أن تحوى تلك الغــرف‬
‫والجزاء الخاصــة بمنــع الختراقات على (كمرات) مراقبة‪.‬‬
‫‪ Firewalls‬والتــي تنشــأ بواســطتها‬
‫التعليمات‪.‬‬
‫ــب أن يحوي النظام على إجراءات ويتـم ذلك بوضـع آليـة توقـف عمليـة الدخول‬‫يجـ‬ ‫‪3.3‬‬
‫حمايـة تحـد مـن الدخول المنطقـي غيـر وتمنعها إذا ما تمت محاولة الدخول لكثر من‬
‫المصرح له إلى مناطق النظام المنطقية‪ .‬ثلث مرات بمعلومات دخول خاطئة‪.‬‬
‫يجـب أن يحوي النظام على آليات تمنـع ويتـم ذلك بالتعاون مـع الشركات المصـنعة‬ ‫‪3.4‬‬
‫دخول الفيروســات والبرامــج غيــر لبرامـج الحمايـة مـن الفيروسـات وتحديثهـا‬
‫بشكل دوري‪.‬‬ ‫المصرح لها‪.‬‬
‫يجــــب أن يحوي النظام على تقنيات ويتـم ذلك مـن خلل الشتراك بإحدى شبكات‬ ‫‪3.5‬‬
‫تكنولوج ية تح مي بيانات المدخلت التـي التشغيـل الخاصـة بحمايـة العمليات التـي تتـم‬

‫‪122‬‬
‫على موقـع الشركـة وتوثيـق ذلك الشتراك‬ ‫تتم خلل إتمام العمليات على الشبكة‪.‬‬
‫بعقود قانونية‪.‬‬
‫يجــب أن يحوي النظام على الجراءات ويتـم ذلك مـن خلل تبنـي الشركـة لمنهجيـة‬ ‫‪3.6‬‬
‫ـة‬
‫ـه وآليـ‬
‫ـة تحدد دورة النظام التشغيليـ‬
‫الخا صة ب كل من عمل ية الت صميم للنظام معينـ‬
‫ـة إدارة البنيــة التملك التي يجب اتباعها وآلية كل من تفعيل‬
‫والتملك والتفعيــل وآليـ‬
‫التحت ية وبرا مج الحما ية وبش كل يتما شى النظام وصـيانته وبشكـل يتماشـى مـع جميـع‬
‫مـع السـياسات الموضوعـة لجعـل النظام المعلومات التكنولوجية الخاصة به‪.‬‬
‫جاهزا للعمل‪.‬‬
‫يجــب أن يحوي النظام على الجراءات وذلك بو ضع و صف وظي في مو ثق يحدد به‬ ‫‪3.7‬‬
‫الخاصة بآلية تحديد المسؤوليات المناطة الشخاص المســؤولون عــن تلك العمليات‬
‫بالشخاص المسـؤولين عـن جعـل النظام ودرجة ونطاق مسؤولياتهم‪.‬‬
‫جاهزا للعمل‪.‬‬
‫ــب أن يحوي النظام على إجراءات وذلك بإنشاء قسم خاص من قبل الدارة العليا‬ ‫يجـ‬ ‫‪3.8‬‬
‫تحدد المصـرح لهـم بفحـص وتوثيـق يناط بـه مهمـة وضـع القوانيـن وتحديـد‬
‫التغييرات التـي تسـتحدث على عمليـة مسؤوليات جميع الوظائف الضرورية‪.‬‬
‫توفير جاهزية النظام‪.‬‬
‫يجــب أن يحوي النظام على الجراءات وذلك بوضع إجراءات موثقة يتم اتباعها عند‬ ‫‪3.9‬‬
‫ـة التغييرات الطارئة على حدوث أي طارئ‪.‬‬
‫ـة بآليـ‬
‫الخاصـ‬
‫النظام‪.‬‬
‫‪ -4‬المراقبة ‪Monitoring‬‬
‫ـة النظام‬
‫ـق خاص بمراقبـ‬
‫ـث يقوم فريـ‬
‫‪ 4.1‬يجب أن يتم تقييم جاهزية وحماية النظام بحيـ‬
‫بشكــل دوري ومطابقتــه بالســياسات وتقيي مه بوا سطة عدة وسائل يتم توفير ها من‬
‫قبــل الدارة وبشكــل مســبق وعلى مدار‬ ‫الموضوعة‪.‬‬
‫الساعة‪.‬‬
‫وجوب وجود آليـة معينـة تمكـن الشركـة وذلك مـن خلل تحليـل جميـع العمليات التـي‬ ‫‪4.2‬‬
‫مـن مراقبـة جاهزيـة النظام والتأكـد بأنـه تتـم مـن خلل النظام وفحصـها بعدة وسـائل‬
‫للوقوف على مدى جاهزية النظام لتفعيلها‪.‬‬ ‫يؤدي المهام المنوطة به‪.‬‬
‫ي جب مراق بة التغيرات التكنولوج ية ال تي ولجـل تحقيـق تلك الغايـة يجـب على الدارة‬ ‫‪4.3‬‬
‫ــا العليـا الخـذ بالحتمالت المسـتقبلية خلل‬
‫تحدث على بيئة النظام ومدى تأثيرهـ‬
‫على جاهزيتـه ومواكبتهـا بشكـل زمنـي وضعها لسياسات الجاهزيه‪.‬‬
‫غير محدد‪.‬‬

‫‪123‬‬
 ‫‪-3‬مبدأ نزاهة المعالجة ‪Processing Integrity Principle‬‬
‫معايير جعل عمليات النظام سليمة ومتكاملة‬
‫‪ -1‬السياسات ‪Polices‬‬
‫‪ 1.1‬أن يتـم إنشاء السـياسات التـي تحدد يجــب أن تكون إجراءات تطويــر وامتلك‬
‫سلمة وتكامل عمليات نظام الحماية النظام والمتضمنـة لكـل مـن تحديـد وتوثيـق‬
‫الشخاص المصـرح لهـم بتأميـن سـلمة‬
‫والمصـادقة عليهـا وتقييمهـا بشكـل‬
‫وتكامل العمليات قد وثقت بشكل رسمي‪.‬‬
‫دوري من ق بل أشخاص معين ين أو‬
‫مجموعة محددة‪.‬‬
‫يجـب أن تحتوي عمليـة تأميـن سـلمة أن تقوم الشركــة بتوثيــق كــل مــا جاء‬ ‫‪1.2‬‬
‫ـي العمود‬
‫ـا فـ‬
‫ـب اتباعهـ‬
‫وتكامـل عمليات النظام وفقـا لسـياسات بالجراءات الواجـ‬
‫اليمن‪.‬‬ ‫حماية النظام كالتالي‪:‬‬
‫‪-‬تعر يف وتوث يق مفهوم تأم ين سلمة‬
‫وتكامـل عمليات النظام المتماشيـة مـع‬
‫سياسات الحماية للمستخدمين‪.‬‬
‫‪-‬شرح آلية وصلحية الدخول للنظام‪.‬‬
‫‪-‬منـع دخول غيـر المصـرح لهـم إلى‬
‫النظام‪.‬‬
‫‪-‬تعريـف آليـة إدخال مسـتخدمين جدد‬
‫وم نع ا ستخدام م ستخدمين ل يراد ل هم‬
‫الستمرار باستخدام النظام‪.‬‬
‫‪-‬تحد يد الم سؤولين عن تأم ين سلمة‬
‫وتكامل عمليات النظام‪.‬‬
‫‪-‬تحديد المسؤولين عن صيانة وتحديث‬
‫النظام‪.‬‬
‫‪-‬تحديـد الليـة المتبعـة فـي حـل أي‬
‫مشكلة تعترض عمليـة تاميـن سـلمة‬
‫وتكامل عمليات النظام‪.‬‬

‫‪124‬‬
 ‫‪-‬مراقبـة إمكانيات النظام فـي تلبيـة‬
‫حاجات الزبائن المتعددة‪.‬‬
‫أن يتـم تعييـن مسـؤولين عـن وضـع أن يتم استحداث منصب تحت مسمى مسؤول‬ ‫‪1.3‬‬
‫سـياسات تاميـن سـلمة وتكامـل عمليات قسم المعلومات‪.‬‬
‫مع ضرورة الحصول على حق ملكية كل من‬ ‫النظام واستبدالهم بشكل دوري‪.‬‬
‫البيانات والبرامج وعمليات التحويل‪.‬‬
‫‪-2‬شبكات الربط ‪Communications‬‬
‫‪ 2.1‬يجب أن توضح الشركة على موقعها في ي جب على الشر كة و عبر موقع ها على شب كة‬
‫النترنيـت الفصـاح الشامـل عـن نظامهـا‬ ‫شبكة النترنيت المور التالية‪:‬‬
‫ـع الجراءات‬
‫ـع جميـ‬
‫ـة مـ‬
‫ـه المتوافقـ‬
‫وآلياتـ‬ ‫‪-‬معلومات تف صيلية عن البضائ ـع أو‬
‫الموضحة في العمود اليمن‬ ‫الخدمات التـي تزودهـا عـبر الشبكـة‬
‫متضمنة‪:‬‬
‫‪-‬حالة البضاعـــة (جديدة أم‬
‫مستعملة)‪.‬‬
‫‪-‬وصف دقيق للبضاعة‪.‬‬
‫‪-‬مصدر المنشأ‪.‬‬
‫‪-‬الشروط والمصــطلحات الخاصــة‬
‫بتجارتها اللكترونية متضمنة‪:‬‬
‫‪-‬تحديـد الوقـت اللزم لتمام‬
‫العمليــة ومكان ووقــت‬
‫التسليم‪.‬‬
‫‪-‬تحديـد الوقـت اللزم لبلغ‬
‫العم يل بنا تج الرد على طلب‬
‫شرائه‪.‬‬
‫‪-‬تحديد آلية التسليم‪.‬‬
‫‪-‬تحديد شروط الدفع‪.‬‬
‫‪-‬تحديد آلية خصم المبالغ على‬
‫العميل‪.‬‬

‫‪125‬‬
 ‫‪-‬تحديد آلية إلغاء العملية‪.‬‬
‫‪-‬تحديد سياسات الرجاع‪.‬‬
‫‪-‬ال سياسات الموضو عة لتام ين سلمة‬
‫وتكامل العملية‪.‬‬
‫أن تكون تعهدات الشركـة بعمليـة تأميـن أن يتـم العلن عـن تعهدهـا بإبقاء عمليات‬ ‫‪2.2‬‬
‫ـة نظام ها سليمة ومتكاملة وبحما ية خ صوصية‬
‫ـل العمليات والمرتبطـ‬
‫ـلمة وتكامـ‬
‫سـ‬
‫بسياسات حماية نظامها واضحة ومفصلة زبائن ها والم ستخدمين الخارج ين على موقع ها‬
‫في شبكة النترنيت وأن يكون هذا التعهد من‬ ‫للمستخدمين‪.‬‬
‫ضمن اتفاقيات التعامل‪.‬‬
‫أن تكون مســؤولية إبقاء عمليات النظام جعـل فريـق الشبكات مسـؤول بشكـل مباشـر‬ ‫‪2.3‬‬
‫سـليمة ومتكاملة وبشكـل يتماشـى مـع عـن تنفيـذ وتفعيـل سـياسات سـلمة وتكامـل‬
‫سـياسات حمايـة النظام مربوطـة بشبكـة عمليات النظام ضمــن توجيهات مســؤول‬
‫اتصال مع الشخاص المعينين لوضع أو المعلومات‪.‬‬
‫تغيير سياسات السلمة والتكامل‪.‬‬
‫يجب ربط آلية التبليغ عن حدوث أخطاء ي تم تفع يل ذلك بو ضع آل ية معي نة في مو قع‬ ‫‪2.4‬‬
‫في عمليات النظام مباشرة مع الم صرح الشركة على شبكة النترنيت يسمح للمستخدم‬
‫بالبلغ عن حدوث أخطاء في النظام‪ ،‬ويجب‬ ‫لهم بالتعامل ومعالجة تلك الخطاء‪.‬‬
‫أن تكون آليـة البلغ هذه مربوطـة بشكـل‬
‫مبا شر مع الشخاص الم صرح ل هم بمعال جة‬
‫تلك الخطاء‪.‬‬
‫يجـب وصـل التغيرات التـي تحدث على ويتـم ذلك فـي الغالب بواسـطة العلن عـن‬ ‫‪2.5‬‬
‫آليـة سـلمة وتكامـل عمليات النظام بيـن التغيرات التـي يمكـن أن تحدث على سـلمة‬
‫وتكامل عمليات نظام الشركة والتزاماتها تجاه‬ ‫كل من الدارة والمستخدم‪.‬‬
‫الزبائن على موقعها على شبكة النترنيت مع‬
‫توضيح الليات الجديدة لتلك التغييرات‪.‬‬

‫‪ -3‬الجراءات ‪Procedure‬‬
‫‪ 3.1‬يجـــب أن يتضمـــن نظام التجارة يجب أن تتضمن آلية الطلب للسلعة أو الخدمة‬
‫على موقع الشركة التالي‪:‬‬ ‫اللكترونية الجراءات التالية‪:‬‬

‫‪126‬‬
 ‫‪-‬شاشة خاصة لدخال معلومات الطلب‪.‬‬ ‫‪-‬آليـة لفحـص صـحة كـل عمليـة طلب‬
‫‪-‬آل ية لمراج عة العمل ية على المو قع وإبلغ‬ ‫شراء واكتمالها‪.‬‬
‫الطالب بتمامهـا أو وجود نواقـص يجـب‬ ‫‪-‬آلية تأكيد و صول رد إيجا بي بتم ـام‬
‫إتمامها‪.‬‬ ‫العملية من قبل الزبون قبل تنفيذها‪.‬‬
‫‪-‬آلية لبلغ العميل بالخطأ في حالة حدوثه‬
‫خلل ملء الطلب‪.‬‬
‫‪-‬آليـة تمكـن حسـاب العميـل مـن مراجعـة‬
‫العملية آليا وإبلغ الدارة عنها‪.‬‬
‫للتأكـد مـن تمام ودقـة وسـلمة العمليات وي تم تحق يق جم يع ما ذ كر في العمود الي من‬ ‫‪3.2‬‬
‫التــي تتــم مــن خلل نظام التجارة بواسطة التالي‪:‬‬
‫اللكترو ني الخاص بالشركـة فل بـد من ‪-‬وجود نظام محدد من ق بل الشر كة يؤ من‬
‫تسليم البضاعة وفقا للشروط المتفق عليها‪.‬‬ ‫توفر آليات معينة تؤمن كل من‪:‬‬
‫‪-‬تصميم برامج خاصة تؤكد صحة العنوان‬ ‫‪-‬شحن البضاعة وفقا للمواصفات التي‬
‫اللكتروني الموضوع في طلب الشراء قبل‬ ‫ـت المحدد‬
‫ـا وبالوقـ‬
‫ـم التفاق عليهـ‬
‫تـ‬
‫قبول العملية‪.‬‬ ‫للزبون‪.‬‬
‫‪-‬وضع آلية معينة لمطابقة ما تم طلبه وما‬ ‫ـة‬
‫ـائل الواردة الخاصـ‬
‫ـليم الرسـ‬
‫‪-‬تسـ‬
‫تم تأك يد المواف قة عل يه ق بل الم ضي بإكمال‬ ‫بالعمليـة للعنوان اللكترونـي الخاص‬
‫العملية‪.‬‬ ‫بالجهة المعنية في الشركة‪.‬‬
‫‪-‬تسـليم الرسـائل الصـادرة ومـن خلل‬
‫مزود خدمــة النترنيــت إلى عنوان‬
‫الزبون الصحيح‪.‬‬
‫‪-‬وصول تأكيد على صحة العملية من‬
‫الزبون قبل مواصلة باقي الجراءات‪.‬‬
‫ـــد مخرجات نظام التجارة يتم تحقيق ذلك من خلل‪:‬‬‫بهدف تأكيـ‬ ‫‪3.3‬‬
‫اللكترونيـة فانـه يجـب أن يحوى نظام ‪-‬ربـط الليات الضروريـة بنظام الشركـة‬
‫ـة على آليات تؤمــن وعرضها على موقع الشركة‪.‬‬
‫التجارة اللكترونيـ‬
‫‪-‬إظهار كـل مـا يخـص سـعر السـلعة‬ ‫التالي‪:‬‬
‫والضري بة المفرو ضة علي ها وكل فة شحن ها‬ ‫ـا‬
‫ـع على موقعهـ‬
‫ـعار البيـ‬
‫‪-‬إظهار أسـ‬
‫في موقع الشركة بشكل واضح‪.‬‬ ‫وجعلهـا تتأقلم آليـا مـع التغيرات التـي‬

‫‪127‬‬
 ‫‪-‬إظهار سـعر تداول العملت التـي تتعامـل‬ ‫تحدث عليها‪.‬‬
‫بها الشركة في موقعها‪.‬‬ ‫‪-‬فوترة الطلبات وفقـا للسـعر والفترة‬
‫‪-‬تصـــحيح أي أخطاء تحدث خلل فترة‬ ‫التي تم بها الطلب‪.‬‬

‫زمنيـة سـريعة ل تتجاوز ‪ 24‬سـاعة مـن‬ ‫‪-‬تعديـل الخطاء المحتمـل ورودهـا‬

‫تاريخ العملية‪.‬‬ ‫خلل إتمام عملية الفوتره‪.‬‬

‫ل بد من وجود إجراءات خا صة ت ساعد ويمكن فعل ذلك بواسطة التالي‪:‬‬ ‫‪3.4‬‬
‫الشركة على تتبع بيانات العملية وتخزين ‪-‬ربـط تاريـخ ووقـت مدخلت العمليـة‬
‫بالعنوان اللكتروني المستخدم‪.‬‬ ‫المعلومات الخاصة بها‪.‬‬
‫‪-‬تضميـن كـل طلبيـة بجميـع المعلومات‬
‫الخاصة بها بشكل آلي‪.‬‬
‫‪-‬محاولة الحتفاظ وتخز ين البيانات العمل ية‬
‫لفترة عشر سنوات على القل‪.‬‬
‫‪-‬تدقيـق تلك البيانات بشكـل دوري والتأكـد‬
‫من عدم حدوث أي تغيرات عليها‪.‬‬
‫يجـب أن يحوي نظام التجارة إلكترونـي ضرورة ح صول كل م ستخدم جد يد على أداة‬ ‫‪3.5‬‬
‫تعريـف‪ ،‬ورقـم سـري خاص بـه للتسـجيل‬ ‫على إجراءات منطقية كالتالي‪:‬‬
‫بالنظام‪.‬‬ ‫‪-‬التسجيل والسماح لمستخدمين جدد‪.‬‬
‫ضرورة اسـتخدام المسـتخدم لدوات تعريـف‬ ‫‪-‬تعريف شروط المستخدم الجديد‪.‬‬
‫معينة‪ ،‬وأرقام سرية للدخول إلى النظام‪.‬‬ ‫‪-‬تحديد آلية تغيير أو تحديث معلومات‬
‫تمكيـن المسـتخدم بتغيـر أو تعديـل معلوماتـه‬ ‫المستخدم‪.‬‬
‫ولكـن بعـد أن يكون قـد حصـل على أداة‬ ‫‪-‬تحديـد آليـة شروط السـماح بالدخول‬
‫تعريف‪ ،‬ورقم سري خاص به بشكل مسبق‪.‬‬ ‫إلى النظام‪.‬‬
‫إنشاء نظام خاص محدد بــه آليــة وشروط‬ ‫‪-‬تحديد صلحيات المستخدمين‪.‬‬
‫الدخول إليه‪.‬‬ ‫‪-‬حذر الدخول لبيانات غيـر خاضعـة‬
‫ـم‬
‫ـموح لهـ‬
‫ـد الشخاص المسـ‬
‫ضرورة تحديـ‬ ‫للتعديل‪.‬‬
‫بالو صول للمعلومات غ ير الخاض عة للتعد يل‬ ‫‪-‬حذر الدخول إلى مناطــــق النظام‬
‫من قبل المستخدمين‪.‬‬ ‫الحسـاسة مثـل أرقام التشغيـل السـرية‬
‫جعـل الدخول إلى مناطـق النظام الحسـاسة‬ ‫الرئيسية وأنظمة الحماية‪.‬‬
‫مق صورا على فر يق تشغ يل الشبكات وت حت‬

‫‪128‬‬
 ‫مراقبة مسؤول المعلومات‪.‬‬
‫ــب أن يحوي النظام على إجراءات ي جب أن يتـم الدخول إلى الغرف ال تي تحوي‬
‫يجـ‬ ‫‪3.6‬‬
‫فعليـة وملموسـة تحدد آليـة الحـد مـن تلك القطع عن طريق بطاقات خاصة وبأرقام‬
‫ـب أن تحوى تلك الغرف‬
‫ـا يجـ‬
‫ـرية وكمـ‬
‫وصـول غيـر المصـرح له إلى القطـع سـ‬
‫والجزاء الخاصــة بمنــع الختراقات (كمرات) مراقبة‪.‬‬
‫‪ Firewalls‬والتــي تنشــأ بواســطتها‬
‫التعليمات‪.‬‬
‫ــب أن يحوي النظام على إجراءات ويتـم ذلك بوضـع آليـة توقـف عمليـة الدخول‬‫يجـ‬ ‫‪3.7‬‬
‫حمايـة تحـد مـن الدخول المنطقـي غيـر وتمنعها إذا ما تمت محاولة الدخول لكثر من‬
‫المصـرح له إلى مناطـق النظام المنطقيـة ثلث مرات بمعلومات دخول خاطئة‪.‬‬
‫من خلل نظام التجارة اللكتروني‪.‬‬
‫يجـب أن يحوي النظام على آليات تمنـع ويتـم ذلك بالتعاون مـع الشركات المصـنعة‬ ‫‪3.8‬‬
‫دخول الفيروســات والبرامــج غيــر لبرامـج الحمايـة مـن الفيروسـات وتحديثهـا‬
‫بشكل دوري‪.‬‬ ‫المصرح لها‪.‬‬
‫يجــــب أن يحوي النظام على تقنيات ويتـم ذلك مـن خلل الشتراك بإحدى شبكات‬ ‫‪3.9‬‬
‫تكنولوج ية تح مي بيانات المدخلت التـي التشغيـل الخاصـة بحمايـة العمليات التـي تتـم‬
‫على موقـع الشركـة وتوثيـق ذلك الشتراك‬ ‫تتم خلل إتمام العمليات على الشبكة‪.‬‬
‫بعقود قانونية‪.‬‬
‫يجــب أن يحوي النظام على الجراءات وذلك بو ضع و صف وظي في مو ثق يحدد به‬ ‫‪3‬‬
‫الخاصة بآلية تحديد المسؤوليات المناطة الشخاص المســؤولون عــن تلك العمليات‬ ‫‪.10‬‬
‫بالشخاص المســـؤولين عـــن نظام ودرجة ونطاق مسؤولياتهم‪.‬‬
‫التجـارة اللكتروني‪.‬‬
‫ــب أن يحوي النظام على إجراءات وذلك بإنشاء قسم خاص من قبل الدارة العليا‬ ‫يجـ‬ ‫‪3‬‬
‫تحدد المصـرح لهـم بفحـص وتوثيـق يناط بـه مهمـة وضـع القوانيـن وتحديـد‬ ‫‪.11‬‬
‫التغييرات التـي تسـتحدث على عمليات مسؤوليات جميع الوظائف الضرورية‪.‬‬
‫التجارة اللكترونية‪.‬‬
‫يجــب أن يحوي النظام على الجراءات وذلك بوضع إجراءات موثقة يتم اتباعها عند‬ ‫‪3‬‬
‫ـة التغييرات الطارئة على حدوث أي طارئ‪.‬‬
‫ـة بآليـ‬
‫الخاصـ‬ ‫‪.12‬‬
‫النظام‪.‬‬
‫يجــب أن يحوي النظام على الجراءات ويتـم ذلك مـن خلل تبنـي الشركـة لمنهجيـة‬ ‫‪3‬‬
‫ـة‬
‫ـه وآليـ‬
‫ـة تحدد دورة النظام التشغيليـ‬
‫الخا صة ب كل من عمل ية الت صميم للنظام معينـ‬

‫‪129‬‬
‫ـة إدارة البنيــة التملك التـي يجـب اتباعهـا وآليـة كـل مـن‬
‫والتملك والتفعيــل وآليـ‬ ‫‪.13‬‬
‫التحت ية وبرا مج الحما ية وبش كل يتما شى تفع ـيل النظام و صيانته وبش كل يتما شى مع‬
‫مع السياسات الموضوعة والخاصة بنظام جميع المعلومات التكنولوجية الخاصة به‪.‬‬
‫التجارة اللكترونية‪.‬‬
‫‪ -4‬المراقبة ‪Monitoring‬‬
‫ـة النظام‬
‫ـق خاص بمراقبـ‬
‫ـث يقوم فريـ‬
‫‪ 4.1‬يجـب أن يتـم تقييـم إجراءات سـلمة بحيـ‬
‫واكتمال العمليات وحمايـة النظام بشكـل وتقيي مه بوا سطة عدة وسائل يتم توفير ها من‬
‫دوري ومطابقتها بالسياسات الموضوعة‪ .‬قبل الدارة بشكل مسبق على مدار الساعة‪.‬‬
‫وجوب وجود آليـة معينـة تمكـن الشركـة وذلك مـن خلل تحليـل جميـع العمليات التـي‬ ‫‪4.2‬‬
‫من مراق بة آل ية سلمة واكتمال عمليات تتـم مـن خلل النظام وفحصـها بعدة وسـائل‬
‫النظام والتأكد بأنها تؤدي المهام المنوطة للوقوف على مدى سلمتها واكتمالها‪.‬‬
‫بها‪.‬‬
‫ي جب مراق بة التغيرات التكنولوج ية ال تي ولجـل تحقيـق تلك الغايـة يجـب على الدارة‬ ‫‪4.3‬‬
‫ــا العليـا الخـذ بالحتمالت المسـتقبلية خلل‬
‫تحدث على بيئة النظام ومدى تأثيرهـ‬
‫على سـلمة واكتمال العمليات ومواكبتهـا وضعها لسياسات السلمة واكتمال العمليات‪.‬‬
‫بشكل زمني غير محدد‪.‬‬

‫‪-4‬مبدأ الخصوصية على الشبكة ‪Online Privacy Principle‬‬

‫قبـل التطرق للجراءات المتعلقـة بهذا المبدأ ل بـد أن توضـح الشــركة‬
‫للمتعامل معها ومن خلل الفصاح عبر موقعها اللكتروني عن مفاهيم الخصوصية‬
‫وبالشكل التالي‪:‬‬
‫‪-1‬إشعار ‪ Notice‬والذي يجب أن يتضمن التالي‪:‬‬
‫‪-‬الهدف من جمع المعلومات عنه‪.‬‬
‫‪-‬مجال استخدام تلك المعلومات‪.‬‬
‫‪-‬الطريقة التي يمكن اتباعها لعلم الشركة عن أي تغيير أو تعديل‬
‫بالمعلومات‪.‬‬
‫‪-‬الطراف الخرى المسموح لها بالطلع على تلك المعلومات‪.‬‬

‫‪130‬‬
 ‫‪-‬تحديد طبيعة المعلومات التي يجب تعبئتها والجبارية والختيارية‬
‫منها‪.‬‬
‫‪-2‬الخيار ‪ Choice‬يجب أن تمنح الشركة المتعامل معها حق الخيار‬
‫فيمـا إذا أرادهـا الفصـاح عـن معلوماتـه الحسـاسة لطرف ثالث‬
‫ولهدف مغاير عن هدف التعامل الرئيسي‪.‬‬
‫‪-3‬الحمايصة ‪ Security‬يجـب أن تلتزم الشركـة بحمايـة معلومات‬
‫الزبون من الضياع أو الستخدام غير المصرح له أو العبث‪.‬‬
‫ـة‬ ‫صة البيانات ‪ Data Integrity‬يجـ‬
‫ـب أن تلتزم الشركـ‬ ‫‪-4‬نزاهص‬
‫باسـتخدام معلومات الزبون العامـة والحسـاسة بشكـل خاص فـي‬
‫الغرض الذي جمعت لجله فقط‪.‬‬
‫‪-5‬عمليصة الدخول ‪ Access‬يجـب أن تزود الشركـة زبائنهـا بآليـة‬
‫دخول معي نة إلى معلومات هم العا مة والح ساسة بهدف تمكين هم من‬
‫تغييرها أو تعديلها‪.‬‬
‫‪-6‬آلية التطبيق ‪ Enforcement‬يجب أن تزود الشركة الجراءات‬
‫والليات التـي تكفـل تطـبيق سـياسات حمايـة الخصـوصية التـي‬
‫تعهدت بهـا مـع ضرورة توضيـح مصـادر تلك الليات بشكـل‬
‫صادق‪.‬‬
‫معايير تأمين خصوصية الزبائن المتعاملين مع الشركة‬
‫‪ -1‬السياسات ‪Polices‬‬
‫‪ 1.1‬أن يتـم إنشاء السـياسات التـي تحدد يجــب أن تكون إجراءات تطويــر وامتلك‬
‫ـي نظام النظام والمتضمنـة لكـل مـن تحديـد وتوثيـق‬
‫ـل فـ‬
‫ـوصية التعامـ‬
‫خصـ‬
‫الشخاص المصـرح لهـم بتأميـن خصـوصية‬
‫الحما ية والم صادقة علي ها وتقييم ها‬
‫المتعاملين قد وثقت بشكل رسمي‪.‬‬
‫بشكـل دوري مـن قبـل أشخاص‬
‫معينين أو مجموعة محددة‪.‬‬
‫ــن أن تقوم الشركــة بتوثيــق كــل مــا جاء‬
‫ــة تأميـ‬
‫ــب أن تحتوي عمليـ‬
‫يجـ‬ ‫‪1.2‬‬

‫‪131‬‬
‫ـي العمود‬
‫ـا فـ‬
‫ـب اتباعهـ‬
‫الخصوصية ووفقا لسياسات حماية النظام بالجراءات الواجـ‬
‫اليمن‪.‬‬ ‫التالي‪:‬‬
‫‪-‬تعريـف وتوثيـق مفهوم الخصـوصية‬
‫ـة‬
‫ـياسات الحمايـ‬
‫ـع سـ‬
‫ـة مـ‬
‫والمتماشيـ‬
‫للمستخدمين‪.‬‬
‫‪-‬شرح آلية وصلحية الدخول للنظام‪.‬‬
‫‪-‬منـع دخول غيـر المصـرح لهـم إلى‬
‫النظام‪.‬‬
‫‪-‬تعريـف آليـة إدخال مسـتخدمين جدد‬
‫وم نع ا ستخدام م ستخدمين ل يراد ل هم‬
‫الستمرار باستخدام النظام‪.‬‬
‫‪-‬تحديــد المســؤولين عــن تأميــن‬
‫خصوصية التعامل‪.‬‬
‫‪-‬تحديد المسؤولين عن صيانة وتحديث‬
‫النظام‪.‬‬
‫‪-‬تحديـد الليـة المتبعـة فـي حـل أي‬
‫مشكلة تعترض عملية الخصوصية‪.‬‬
‫‪-‬مراقبـة إمكانيات النظام فـي تلبيـة‬
‫حاجات الزبائن المتعددة‪.‬‬
‫‪-‬تزويد الزبائن بالشعارات الضرورية‬
‫التـي توضـح جميـع المور المتعلقـة‬
‫بأهداف الحصـــول على المعلومات‬
‫الخاصة بهم‪.‬‬
‫‪-‬إعطاء الزبائن حـق الختيار بتزويـد‬
‫بعض المعلومات غير الضرورية‪.‬‬
‫‪-‬ال سماح للزبائن بالدخول إلى المنا طق‬
‫الخا صة ب هم بهدف تمكين هم من تغي ير‬
‫أو تعديل المعلومات الخاصة بهم‪.‬‬

‫‪132‬‬
‫أن يتـم تعييـن مسـؤولين عـن وضـع أن يتم استحداث منصب تحت مسمى مسؤول‬ ‫‪1.3‬‬
‫سـياسات تاميـن خصـوصية التعامـل قسم المعلومات‪.‬‬
‫مع ضرورة الحصول على حق ملكية كل من‬ ‫واستبدالهم بشكل دوري‪.‬‬
‫البيانات والبرامج وعمليات التحويل‪.‬‬
‫‪-2‬شبكات الربط ‪Communications‬‬
‫‪ 2.1‬ضرورة أن توضـح الشركـة آليـة شبكـة وذلك بواسطة وضع شرح تفصيلي عن نظام‬
‫تجارتها اللكتروني في موقعها‪.‬‬ ‫ربط نظام تجارتها اللكتروني‪.‬‬
‫يجـب أن تفصـح الشركـة عـن سـياسات وذلك بتحديد وعمل المور التالية‪:‬‬ ‫‪2.2‬‬
‫‪-‬تحد يد مدى م سؤولية والتزام العم يل تجاه‬ ‫تأمين الخصوصية كالتالي‪:‬‬
‫العملية التي يقوم بها مع الشركة‪.‬‬ ‫‪-‬طبيعة ونوع المعلومات التي يجب أن‬
‫‪-‬وضـع برامـج تثقيفيـة بالمور المتعلقـة‬ ‫يزودهـا بهـا الزبون ومدى اسـتخدامها‬
‫بالخصوصية وكيفية حمايتها‪.‬‬ ‫من قبل طرف ثالث مثل‪:‬‬
‫ـة بالحفاظ على‬
‫‪-‬نشــر ســياستها المتعلقـ‬ ‫‪ .‬أطراف وسـيطة بتأميـن عمليات‬
‫خصوصية الزبائن عبر شبكة النترنيت‪.‬‬ ‫الدفع‪.‬‬
‫‪ .‬أطراف تسويقية أخرى‪.‬‬
‫‪-‬الخيارات المطروحـــة أمام الزبائن‬
‫بمدى إمكانيـة السـماح للشركـة بتداول‬
‫المعلومات الخاصة بهم‪.‬‬
‫‪-‬المعلومات الضروريــة والحســاسة‬
‫والتـي ل يمكـن للعمليـة أن تتـم مـن‬
‫دونها‪.‬‬
‫ـــــة طلب إعادة عرض تلك‬
‫‪-‬آليـ‬
‫المعلومات للزبون قبـل تفعيـل الطلب‬
‫بها‪.‬‬
‫وذلك بالفصاح عن هذا المر بشكل واضح‬ ‫ضرورة إعلم الزبون بوجود رموز‬ ‫‪2.3‬‬
‫رقميــة ‪ Cookies‬تســتطيع تتبــع‬
‫معلوماتـه وكيفيـة إمكانيـة إيقاف تفعيلهـا‬
‫لكـي يضمـن عدم تتبـع الخريـن للبيانات‬
‫الخاصة به‪.‬‬

‫‪133‬‬
‫يجب ربط آلية التبليغ عن اختراقات نظام ي تم تفع يل ذلك بو ضع آل ية معي نة في مو قع‬ ‫‪2.4‬‬
‫الخصـوصية مباشرة مـع المصـرح لهـم الشركة على شبكة النترنيت يسمح للمستخدم‬
‫بالبلغ عـن الختراقات التـي تحدث للنظام‬ ‫بالتعامل ومعالجة الختراقات‪.‬‬
‫ويجـب أن تكون آليـة البلغ هذه مربوطـة‬
‫بشكـل مباشـر مـع الشخاص المصـرح لهـم‬
‫بمعالجة تلك الختراقات‬
‫يجـب أن تكون عمليـة الفصـاح عـن ويمكـن تكليـف طرف ثالث متخصـص بهذه‬ ‫‪2.5‬‬
‫سياسات الخصوصية مرتبطة مع حاجات المور‬
‫الزبائن‪.‬‬
‫ضرورة أن تكون عمليـة الفصـاح عـن الفصاح عن ذلك في موقع الشركة‪.‬‬ ‫‪2.6‬‬
‫الخ صوصية متماش ية مع قوان ين الشر كة‬
‫بشكـل خاص وقوانيـن التعامـل الدولي‬
‫بشكل عام‪.‬‬
‫إبلغ المتعا مل أن الشر كة تت بع سياسات وذلك بإظهار نافذة فجائ ية تتض من ال سياسات‬ ‫‪2.7‬‬
‫المعمول بهـا عندمـا يدخـل الزبون فـي موقـع‬ ‫الخصوصية‬
‫الشركة مباشرة‪.‬‬
‫ـن‬
‫ـطة العلن عـ‬
‫ـم ذلك بالغالب بواسـ‬
‫يجـب وصـل التغيرات التـي تحدث على ويتـ‬ ‫‪2.8‬‬
‫تأمين خصوصية عمليات النظام بين كل التغيرات التـي يمكـن أن تحدث على تأميـن‬
‫خ صوصية عمليات نظام الشر كة والتزامات ها‬ ‫من الدارة والمستخدم‪.‬‬
‫تجاه الزبائن على موقعهـــا على شبكـــة‬
‫النترنيـت مـع توضيـح الليات الجديدة لتلك‬
‫التغييرات‪.‬‬
‫‪ -3‬الجراءات ‪Procedure‬‬
‫‪ 3.1‬يجـب أن يعلم الزبون بالجراءات التـي وذلك يتـم مـع إعطائه الحـق الكامـل بقبول‬
‫تتـم بالفصـاح عـن بياناتـه الخاصـة المـر مـن عدمـه وجعـل موظفـي الشركـة‬
‫للطراف الخرى الضروريـــة لتمام يتعهدون ضمـن عقود تعيينهـم بالتقيـد بالحفاظ‬
‫على خصوصية الزبائن وبشكل كامل‪.‬‬ ‫العملية‪.‬‬
‫يجب أن يعلم الزبون بالجراءات المتبعة وي تم ذلك من خلل إف صاح الشر كة عن تلك‬ ‫‪3.2‬‬
‫باسـتخدام البيانات الخاصـة بـه وكيفيـة الجراءات عبر موقعها‪.‬‬
‫تدرجها‪.‬‬

‫‪134‬‬
‫يجـب أن يكون لدى الشركـة آل ية تمكنهـا ويمكـن تحقيـق ذلك باسـتخدام برامـج تكون‬ ‫‪3.3‬‬
‫من تدقيق معلومات الزبون وأنها صالحة مهمتهـا التصـال مـع مصـادر المعلومات‬
‫وتأكيد صحتها وبشكل مسبق لتمام العملية‪.‬‬ ‫للستخدام‪.‬‬
‫يجـب أن تـبرم الشركـة اتفاقيات مـع ويمكـن أن تتأكـد مـن تطبيقهـا لتلك التفاقيات‬ ‫‪3.4‬‬
‫الطراف الخرى التي يتم اطلعها على عبر توسيط طرف تدقيق بينها‪.‬‬
‫معلومات الزبائن تحدد بهـــا التزامات‬
‫الخصوصية من قبلها‪.‬‬
‫ضرورة الحصـول على موافقـة الزبون ويتـم ذلك بتوضيـح السـبب الكامـن لضرورة‬ ‫‪3.5‬‬
‫قبل عملية تحميل أية برامج خاصة بآلية تحميــل ذلك البرنامــج وتزويده بدليــل‬
‫استخدامه‪.‬‬ ‫إتمام العمليات على جهازه‪.‬‬
‫ي جب أن يحوي نظام التجارة اللكترو ني ضرورة ح صول كل م ستخدم جد يد على أداة‬ ‫‪3.6‬‬
‫تعريـف‪ ،‬ورقـم سـري خاص بـه للتسـجيل‬ ‫على الجراءات المنطقية كالتالي‪:‬‬
‫بالنظام‪.‬‬ ‫‪-‬التسجيل والسماح لمستخدمين جدد‪.‬‬
‫ضرورة اسـتخدام المسـتخدم لدوات تعريـف‬ ‫‪-‬تعريف شروط المستخدم الجديد‪.‬‬
‫معينة‪ ،‬وأرقام سرية للدخول إلى النظام‪.‬‬ ‫‪-‬تحديد آلية تغيير أو تحديث معلومات‬
‫تمكيـن المسـتخدم بتغيـر أو تعديـل معلوماتـه؛‬ ‫المستخدم‪.‬‬
‫ولكـن بعـد أن يكون قـد حصـل على أداة‬ ‫‪-‬تحد يد آل ية شروط ال سماح بالدخ ـول‬
‫تعريف ورقم سري خاص به بشكل مسبق‪.‬‬ ‫إلي النظام‪.‬‬
‫إنشاء نظام خاص محدد بــه آليــة وشروط‬ ‫‪-‬تحديد صلحيات المستخدمين‪.‬‬
‫الدخول إليه‪.‬‬ ‫ـــق بيانات‬
‫‪-‬حذر الدخول إلى مناطـ‬
‫جعــل الدخول إلى مناطــق بيانات الزبائن‬ ‫الزبائن الحســاسة لغيــر الموظفيــن‬
‫الحساسة مقصورا على قسم الحسابات‪.‬‬ ‫المصرح لهم بذلك‪.‬‬
‫ــب أن يحوي النظام على إجراءات ي جب أن يتـم الدخول إلى الغرف ال تي تحوي‬ ‫يجـ‬ ‫‪3.7‬‬
‫فعليـة وملموسـة تحدد آليـة الحـد مـن تلك القطـع عـن طريـق بطاقات خاصـة‪،‬‬
‫ـب أن تحوى تلك‬
‫ـا يجـ‬
‫ـرية وكمـ‬
‫وصـول غيـر المصـرح له إلى القطـع وبأرقام سـ‬
‫والجزاء الخاصــة بمنــع الختراقات الغرف على (كمرات) مراقبة‪.‬‬
‫‪ Firewalls‬والتــي تنشــأ بواســطتها‬
‫التعليمات‪.‬‬
‫ــب أن يحوي النظام على إجراءات ويتـم ذلك بوضـع آليـة توقـف عمليـة الدخول‬‫يجـ‬ ‫‪3.8‬‬
‫حمايـة تحـد مـن الدخول المنطقـي لغيـر وتمنعها إذا ما تمت محاولة الدخول لكثر من‬

‫‪135‬‬
 ‫المصـرح له إلى مناطـق حمايـة نظام ثلث مرات بمعلومات دخول خاطئة‪.‬‬
‫التجارة اللكتروني المنطقية‪.‬‬
‫يجـب أن يحوي النظام على آليات تمنـع ويتـم ذلك بالتعاون مـع الشركات المصـنعة‬ ‫‪3.9‬‬
‫دخول الفيروســات والبرامــج غيــر لبرامـج الحمايـة مـن الفيروسـات وتحديثهـا‬
‫بشكل دوري‪.‬‬ ‫المصرح لها‪.‬‬
‫يجــــب أن يحوي النظام على تقنيات ويتـم ذلك مـن خلل الشتراك بإحدى شبكات‬ ‫‪3‬‬
‫تكنولوجية تحمي بيانات الزبائن التي تتم التشغيـل الخاصـة بحمايـة العمليات التـي تتـم‬ ‫‪.10‬‬
‫على موقـع الشركـة وتوثيـق ذلك الشتراك‬ ‫خلل إتمام العمليات على الشبكة‪.‬‬
‫بعقود قانونية‪.‬‬
‫ــب أن يحوي النظام على إجراءات وذلك بو ضع و صف وظي في مو ثق يحدد به‬
‫يجـ‬ ‫‪3‬‬
‫خا صة بآل ية تحد يد الم سؤوليات المنا طة الشخاص المســؤولون عــن تلك العمليات‬ ‫‪.11‬‬
‫بالشخاص المســـؤولين عـــن نظام ودرجة ونطاق مسؤولياتهم‪.‬‬
‫الخصوصية‪.‬‬
‫ــب أن يحوي النظام على إجراءات وذلك بإنشاء قسم خاص من قبل الدارة العليا‬
‫يجـ‬ ‫‪3‬‬
‫تحدد المصـرح لهـم بفحـص وتوثيـق يناط بـه مهمـة وضـع القوانيـن وتحديـد‬ ‫‪.12‬‬
‫التغييرات ال تي ت ستحدث على آل ية تأم ين مسؤوليات جميع الوظائف الضرورية‪.‬‬
‫الخصوصية‪.‬‬
‫يجــب أن يحوي النظام على الجراءات وذلك بوضع إجراءات موثقة يتم اتباعها عند‬ ‫‪3‬‬
‫ـة التغييرات الطارئة على حدوث أي طارئ‪.‬‬
‫ـة بآليـ‬
‫الخاصـ‬ ‫‪.13‬‬
‫النظام‪.‬‬
‫يجــب أن يحوي النظام على الجراءات ويتـم ذلك مـن خلل تبنـي الشركـة لمنهجيـة‬ ‫‪3‬‬
‫ـة‬
‫ـه وآليـ‬
‫ـة تحدد دورة النظام التشغيليـ‬
‫الخا صة ب كل من عمل ية الت صميم للنظام معينـ‬ ‫‪.14‬‬
‫ـة إدارة البنيــة التملك التي يجب اتباعها وآلية كل من تفعيل‬
‫والتملك والتفعيــل وآليـ‬
‫التحتية وبرامج الحماية بشكل يتماشى مع النظام وصـيانته وبشكـل يتماشـى مـع جميـع‬
‫السـياسات الموضوعـة والخاصـة بنظام المعلومات التكنولوجية الخاصة به‪.‬‬
‫الخصوصية‪.‬‬
‫‪ -4‬المراقبة ‪Monitoring‬‬
‫ـة النظام‬
‫ـق خاص بمراقبـ‬
‫ـث يقوم فريـ‬
‫‪ 4.1‬يجب أن يتم تقييم آلية تأمين الخصوصية بحيـ‬
‫وحمايـة النظام بشكـل دوري ومطابقتهـا وتقيي مه بوا سطة عدة وسائل يتم توفير ها من‬
‫قبل الدارة بشكل مسبق على مدار الساعة‪.‬‬ ‫بالسياسات الموضوعة‪.‬‬
‫وجوب وجود إجراءات معينــة تمكــن وذلك مـن خلل تحليـل جميـع العمليات التـي‬ ‫‪4.2‬‬

‫‪136‬‬
‫الشركـة مـن مراقبـة آليـة الخصـوصية تتـم مـن خلل النظام وفحصـها بعدة وسـائل‬
‫للوقوف على مدى النجاح فــي الحفاظ على‬ ‫والتأكد بأنها تؤدي المهام المناطة بها‪.‬‬
‫خصوصيتها‪.‬‬
‫ي جب مراق بة التغيرات التكنولوج ية ال تي ولجـل تحقيـق تلك الغايـة يجـب على الدارة‬ ‫‪4.3‬‬
‫ــا العليـا الخـذ بالحتمالت المسـتقبلية خلل‬
‫تحدث على بيئة النظام ومدى تأثيرهـ‬
‫ـا وضعها لسياسات تأمين الخصوصية‪.‬‬
‫ـوصية ومواكبتهـ‬
‫على موضوع الخصـ‬
‫بشكل زمني غير محدد‪.‬‬

‫‪-5‬مبدأ السرية ‪Confidentiality Principle‬‬

‫قبـل التطرق للجراءات المتعلقـة بهذا المبدأ ل بـد أن نعدد المعلومات التـي‬
‫تصنف بأنها سرية‪:‬‬
‫‪-1‬تفصيلت العمليات ‪Transaction Details‬‬
‫‪-2‬المخططات الهندسصصصصية (المواصصصصصفات) ‪Engineering‬‬
‫‪Drawings‬‬
‫‪-3‬الخطط التجارية ‪Business Plans‬‬
‫‪-4‬المعلومات المصرفية ‪Banking Information‬‬
‫‪-5‬أسعار العرض أو القبول ‪Bid or Asked Prices‬‬
‫‪-6‬قوائم ألتسعير ‪Price Lists‬‬
‫‪-7‬الوثائق القانونية ‪Legal Documents‬‬
‫‪-8‬قوائم الزبائن والعملء ‪Client/Customer Lists‬‬
‫‪-9‬إيرادات الصناعة و العملء ‪Revenue Client/Industry‬‬
‫‪-10‬أيصة بيانات معلومات أخرى تصصنفها الشركصة ضمصن المعلومات‬
‫السرية‪.‬‬
‫معايير تأمين حماية المعلومات السرية‬
‫‪ -1‬السياسات ‪Polices‬‬
‫‪ 1.1‬أن يتـم إنشاء السـياسات التـي تحدد يجــب أن تكون إجراءات تطويــر وامتلك‬

‫‪137‬‬
‫آليــة حمايــة ســرية المعلومات النظام والمتضمنـة لكـل مـن تحديـد وتوثيـق‬
‫والمصـادقة عليهـا وتقييمهـا بشكـل الشخاص المصـرح لهـم بإنشاء السـياسات‬
‫والطلع على المعلومات السـرية قـد وثقـت‬
‫دوري من ق بل أشخاص معين ين أو‬
‫بشكل رسمي‪.‬‬
‫مجموعة محددة‪.‬‬
‫ـياسات الحفاظ على أن تقوم الشركــة بتوثيــق كــل مــا جاء‬
‫ـب أن تحوي سـ‬
‫يجـ‬ ‫‪1.2‬‬
‫ـي العمود‬
‫ـا فـ‬
‫ـب اتباعهـ‬
‫سرية المعلومات ووف قا ل سياسات حما ية بالجراءات الواجـ‬
‫اليمن‪.‬‬ ‫النظام التالي‪:‬‬
‫‪-‬تعريــف وتوثيــق مفهوم ســرية‬
‫المعلومات‪.‬‬
‫‪-‬شرح آليـة وصـلحية الدخول لنظام‬
‫المعلومات السرية‪.‬‬
‫‪-‬منـع دخول غيـر المصـرح لهـم إلى‬
‫النظام‪.‬‬
‫‪-‬تعريـف آليـة إدخال مسـتخدمين جدد‬
‫وم نع ا ستخدام م ستخدمين ل يراد ل هم‬
‫الستمرار باستخدام النظام‪.‬‬
‫‪-‬تحديـد المسـؤولين عـن تأميـن آليـة‬
‫سرية المعلومات‪.‬‬
‫‪-‬تحديد المسؤولين عن صيانة وتحديث‬
‫النظام‪.‬‬
‫‪-‬تحديـد الليـة المتبعـة فـي حـل أي‬
‫مشكلة تعترض عمليـــة الحفاظ على‬
‫سرية المعلومات‪.‬‬
‫أن يتـم تعييـن مسـؤولين عـن وضـع أن يجعل قسم الموارد البشرية مسؤول بشكل‬ ‫‪1.3‬‬
‫ســياسات تأميــن ســرية المعلومات مباشـر عـن تعييـن الشخاص المناسـبين لتلك‬
‫المهمـة‪ .‬مـع ضرورة الحصـول على حـق‬ ‫واستبدالهم بشكل دوري‪.‬‬
‫ملكيـة كـل مـن البيانات والبرامـج الخاصـة‬
‫بحماية المعلومات السرية‪.‬‬

‫‪138‬‬
 ‫‪-2‬شبكات الربط ‪Communications‬‬
‫‪ 2.1‬ضرورة أن توضـح الشركـة آليـة شبكـة وذلك بواسطة وضع شرح تفصيلي عن نظام‬
‫حماية سرية المعلومات‪.‬‬ ‫ربط نظام حماية سرية المعلومات‪.‬‬
‫يجــب أن تتضمــن شبكات التصــال يتم تفعيل ذلك بواسطة التالي‪:‬‬ ‫‪2.2‬‬
‫‪-‬الفصـاح عـن المعلومات غيـر المصـرح‬ ‫الخاصة بالمعلومات السرية التالي‪:‬‬
‫للخرين بالطلع عليها عبر موقعها‪.‬‬ ‫‪-‬جم يع المعلومات الم صنفـة بال سرية‬
‫‪-‬الف صاح عن خطورة محاولة دخول غ ير‬ ‫وآلية الدخول إليها‪.‬‬
‫المصـرح لهـم لتلك المعلومات والمسـاءلة‬ ‫‪-‬كيفية عملية تأهيل الدخول للمعلومات‬
‫القانون ية ال تي يم كن أن تن جم عن ذلك عبر‬ ‫السرية‪.‬‬
‫موقعها‪.‬‬ ‫‪-‬كيفية استخدام المعلومات السرية‪.‬‬
‫‪-‬تحديـد الموظفيـن المسـموح لهـم بالطلع‬ ‫‪-‬المحددات ال تي ي جب التق يد ب ها ع ند‬
‫على المعلومات السـرية ومراجعـة وتدقيـق‬ ‫تزويــد هذه المعلومات إلى أي طرف‬
‫قوائم المصرح لهم بذلك بشكل دوري‪.‬‬ ‫ثالث‪.‬‬
‫‪-‬ضرورة تماشي سياسات حماية سرية‬
‫المعلومات مع القوانين المعمول بها‪.‬‬
‫يجب ربط آلية التبليغ عن اختراقات نظام ي تم تفع يل ذلك بو ضع آل ية معي نة في مو قع‬ ‫‪2.3‬‬
‫ـع الشركة على شبكة النترنيت يسمح للمستخدم‬
‫ـرية المعلومات مباشرة مـ‬
‫ـة سـ‬
‫حمايـ‬
‫المصــرح لهــم بالتعامــل ومعالجــة بالبلغ عـن الختراقات التـي تحدث للنظام‬
‫ويجـب أن تكون آليـة البلغ هذه مربوطـة‬ ‫الختراقات‪.‬‬
‫بشكـل مباشـر مـع الشخاص المصـرح لهـم‬
‫بمعالجة تلك الختراقات‪.‬‬
‫يجـب وصـل التغيرات التـي تحدث على ويتـم ذلك فـي الغالب بواسـطة العلن عـن‬ ‫‪2.4‬‬
‫تأميـن حمايـة سـرية المعلومات بيـن كـل التغيرات التـي يمكـن أن تحدث على تأميـن‬
‫حمايـة سـرية المعلومات عـبر موقعهـا على‬ ‫من الدارة والمستخدم‪.‬‬
‫شب كة النترن يت مع توض يح الليات الجديدة‬
‫لتلك التغييرات‪.‬‬
‫‪ -3‬الجراءات ‪Procedure‬‬
‫‪ 3.1‬أن ي تم الف صاح عن الجراءات المتب عة وي جب أن يرا فق عمل ية الف صاح تلك توق يع‬
‫الموظفيـن المصـرح لهـم بالدخول والطلع‬ ‫في تأمين حماية سرية المعلومات‪.‬‬
‫على تلك المعلومات على تعهدات معينة‪.‬‬

‫‪139‬‬
‫يجـب أن تـبرم الشركـة اتفاقيات مـع ويمكـن أن تتأكـد مـن تطبيقهـا لتلك التفاقيات‬ ‫‪3.2‬‬
‫الطراف الخرى التي يتم اطلعها على عبر توسيط طرف تدقيق بينها‪.‬‬
‫المعلومات السـرية تحدد بهـا التــزام‬
‫السرية التامة من قبلها‪.‬‬
‫يجــب أن يحوي نظام تأميــن ســرية ضرورة ح صول كل م ستخدم جد يد على أداة‬ ‫‪3.3‬‬
‫المعلومات على الجراءات المنطقيـــة تعريـف‪ ،‬ورقـم سـري خاص بـه للتسـجيل‬
‫بالنظام‪.‬‬ ‫التالية‪:‬‬
‫ضرورة اسـتخدام المسـتخدم لدوات تعريـف‬ ‫‪-‬التسجيل والسماح لمستخدمين جدد‪.‬‬
‫معينة‪ ،‬وأرقام سرية للدخول إلى النظام‪.‬‬ ‫‪-‬تعريف شروط المستخدم الجديد‪.‬‬
‫تمك ين الم ستخدم بتغي ير أو تعد يل معلوما ته؛‬ ‫‪-‬تحديد آلية تغيير أو تحديث معلومات‬
‫ولكـن بعـد أن يكون قـد حصـل على أداة‬ ‫المستخدم‪.‬‬
‫تعريف‪ ،‬ورقم سري خاص به بشكل مسبق‪.‬‬ ‫‪-‬تحديـد آليـة شروط السـماح بالدخول‬
‫إنشاء نظام خاص محدد بــه آليــة وشروط‬ ‫إلى النظام‪.‬‬
‫الدخول إليه‪.‬‬ ‫‪-‬تحديد صلحيات المستخدمين‪.‬‬
‫جعـل الدخول إلى مناطـق البيانات السـرية‬ ‫‪-‬حذر الدخول إلى البيانات الســـرية‬
‫مقصورا على القسام المعنية‪.‬‬ ‫لغير الموظفين المصرح لهم بذلك‪.‬‬
‫ــب أن يحوي النظام على إجراءات ي جب أن يتـم الدخول إلى الغرف ال تي تحوي‬ ‫يجـ‬ ‫‪3.4‬‬
‫فعليـة وملموسـة تحدد آليـة الحـد مـن تلك القطع عن طريق بطاقات خاصة وبأرقام‬
‫وصـول غيـر المصـرح له إلى القطـع سرية‪ .‬ك ما ي جب أن تحوى تلك الغرف على‬
‫والجزاء الخاصــة بمنــع الختراقات (كمرات) مراقبة‪.‬‬
‫‪ Firewalls‬والتــي تنشــأ بواســطتها‬
‫التعليمات‪.‬‬
‫ــب أن يحوي النظام على إجراءات ويتـم ذلك بوضـع آليـة توقـف عمليـة الدخول‬‫يجـ‬ ‫‪3.5‬‬
‫حمايـة تحـد مـن الدخول المنطقـي غيـر وتمنعها إذا ما تمت محاولة الدخول لكثر من‬
‫المصـرح له إلى مناطـق حمايـة نظام ثلث مرات بمعلومات دخول خاطئة‪.‬‬
‫سرية المعلومات المنطقية‪.‬‬
‫يجـب أن يحوي النظام على آليات تمنـع ويتـم ذلك بالتعاون مـع الشركات المصـنعة‬ ‫‪3.6‬‬
‫دخول الفيروســات والبرامــج غيــر لبرامـج الحمايـة مـن الفيروسـات وتحديثهـا‬
‫بشكل دوري‪.‬‬ ‫المصرح لها‪.‬‬
‫يجــــب أن يحوي النظام على تقنيات ويتـم ذلك مـن خلل الشتراك بإحدى شبكات‬ ‫‪3.7‬‬

‫‪140‬‬
‫تكنولوجيـة تحمـي البيانات السـرية مـن التشغيـل الخاصـة بحمايـة المعلومات السـرية‬
‫وتوثيق ذلك الشتراك بعقود قانونية‪.‬‬ ‫الضياع أو التلف‪.‬‬
‫يجــب أن يحوي النظام على الجراءات وذلك بو ضع و صف وظي في مو ثق يحدد به‬ ‫‪3.8‬‬
‫الخاصة بآلية تحديد المسؤوليات المناطة الشخاص المسؤولون عن تلك اللية ودرجة‬
‫بالشخاص المسـؤولين عـن نظام تأميـن ونطاق مسؤولياتهم‪.‬‬
‫سرية المعلومات‪.‬‬
‫ــب أن يحوي النظام على إجراءات وذلك بإنشاء قسم خاص من قبل الدارة العليا‬ ‫يجـ‬ ‫‪3.9‬‬
‫تحدد المصـرح لهـم بفحـص وتوثيـق يناط بـه مهمـة وضـع القوانيـن وتحديـد‬
‫التغييرات ال تي ت ستحدث على آل ية تأم ين مسؤوليات جميع الوظائف الضرورية‪.‬‬
‫حماية سرية المعلومات‪.‬‬
‫يجــب أن يحوي النظام على الجراءات وذلك بوضع إجراءات موثقة يتم اتباعها عند‬ ‫‪3‬‬
‫ـة التغييرات الطارئة على حدوث أي طارئ‪.‬‬
‫ـة بآليـ‬
‫الخاصـ‬ ‫‪.10‬‬
‫النظام‪.‬‬
‫يجــب أن يحوي النظام على الجراءات ويتـم ذلك مـن خلل تبنـي الشركـة لمنهجيـة‬ ‫‪3‬‬
‫ـة‬
‫ـه وآليـ‬
‫ـة تحدد دورة النظام التشغيليـ‬
‫الخا صة ب كل من عمل ية الت صميم للنظام معينـ‬ ‫‪.11‬‬
‫ـة إدارة البنيــة التملك التي يجب اتباعها وآلية كل من تفعيل‬
‫والتملك والتفعيــل وآليـ‬
‫التحتية وبرامج الحماية بشكل يتماشى مع النظام وصـيانته بشكـل يتماشـى مـع جميـع‬
‫السـياسات الموضوعـة والخاصـة بنظام المعلومات التكنولوجية الخاصة به‪.‬‬
‫تأمين حماية سرية المعلومات‪.‬‬

‫‪ -4‬المراقبة ‪Monitoring‬‬
‫ـة النظام‬
‫ـق خاص بمراقبـ‬
‫ـث يقوم فريـ‬
‫‪ 4.1‬يجـب أن يتـم تقييـم آليـة تأميـن سـرية بحيـ‬
‫المعلومات وحمايـة النظام بشكـل دوري وتقيي مه بوا سطة عدة وسائل يتم توفير ها من‬
‫قبل الدارة بشكل مسبق على مدار الساعة‪.‬‬ ‫ومطابقتها بالسياسات الموضوعة‪.‬‬
‫وجوب وجود آليـة معينـة تمكـن الشركـة وذلك مـن خلل تحليـل جميـع العمليات التـي‬ ‫‪4.2‬‬
‫من مراقبة عملية تأمين سرية المعلومات تتـم مـن خلل النظام وفحصـها بعدة وسـائل‬
‫للوقوف على مدى النجاح لسرية المعلومات‪.‬‬ ‫والتأكد بأنها تؤدي المهام المناطة بها‪.‬‬
‫ي جب مراق بة التغيرات التكنولوج ية ال تي ولجـل تحقيـق تلك الغايـة يجـب على الدارة‬ ‫‪4.3‬‬
‫ــا العليـا الخـذ بالحتمالت المسـتقبلية خلل‬
‫تحدث على بيئة النظام ومدى تأثيرهـ‬
‫على موضوع ســـــرية المعلومات وضعها لسياسات تأمين سرية المعلومات‪.‬‬

‫‪141‬‬
 ‫ومواكبتها بشكل زمني غير محدد‪.‬‬

‫ـث أن‬
‫ـي الكندي يرى الباحـ‬
‫ـل العملي للمشروع المريكـ‬
‫ـي ختام التحليـ‬
‫وفـ‬
‫المشروع وبشكـل عام يحتوي على عدد مـن السـلبيات واليجابيات يمكـن تلخيصـها‬
‫بالتالي‪:‬‬
‫أول‪ :‬السلبيات‪:‬‬
‫‪-1‬المشروع وبشكله العام يو حي للبا حث بأ نه مشروع تجاري يهدف‬
‫إلى الحصـول على عملء ليـس إل ‪ ،‬وهذا السـتنتاج نابـع مـن‬
‫النقاط التالية‪:‬‬
‫‪-‬ل توجد أي معايير مقارنة بين النظام المطبق وما يجب أن يكون عليه ‪،‬‬
‫ويعني الباحث هنا أن عملية تدقيق الحسابات مثل والتي تتم وفقا لمعايير‬
‫تدق يق دول ية ت ستند على ف حص ح سابات المنشأة ومدى التزام ها بت طبيق‬
‫معاي ير المحا سبة الدول ية ‪ ،‬ح يث أن معاي ير المحا سبة الدول ية ت عد نق طة‬
‫ارتكاز يتـم التقييـم بناءً عليهـا ‪ ،‬ولكـن وفـي هذا المشروع توجـد مبادئ‬
‫تدقيـق لنظام التجارة اللكترونـي دون وجود مبادئ ارتكاز يتـم العتماد‬
‫عليها‪.‬‬
‫‪-2‬رغـم درايـة معهـد المحاسـبيين القانونييـن المريكـي بمشكلة‬
‫العتراف باليراد المتولد عبر التجارة اللكترونية إل انه لم يذكر‬
‫ول بأي شكل مـن الشكال مساهمة مشروعه بحل تلك المشكلة‪.‬‬
‫‪-3‬لم يراع المشروع حجم الشركات المستخدمة للتجارة اللكترونية ‪،‬‬
‫وحسـب رأي الباحـث فالمشروع يصـلح لسـتخدامات الشركات‬
‫الضخمة فقط حيث إن تكلفة التقيد بجميع البنود المنصوص عليها‬
‫فيه كبيرة جدا‪.‬‬

‫‪142‬‬
‫‪-4‬لم يذ كر المشروع كيف ية تأهيله لمنت سبي كل من مع هد المحا سبين‬
‫القانونييـن المريكـي والكندي بجميـع المور التقنيـة الخاصـة‬
‫بموضوع التجارة اللكترونية‪.‬‬
‫ثانيا‪ :‬اليجابيات‪:‬‬
‫‪-1‬وفـر المشروع وسـيلة ثقـة مقبولة عمومـا لكـل مـن المسـتهلكين‬
‫والشركات المتعاملة بالتجارة اللكترونيـة ؛ والسـبب يعود إلى أن‬
‫هذه الخدمـة الجديدة مزودة مـن قبـل اعرق المعاهـد المحاسـبية‬
‫الموثوق بها بالعالم‪.‬‬
‫‪-2‬وفـر المشروع سـياسات وإجراءات نظريـة يمكـن أن تسـاعد‬
‫المختصين والمحاسبين باستنباط سياسات وإجراءات عملية استنادا‬
‫عليها‪.‬‬
‫‪-3‬يعـد المشروع مـن المحاولت الفريدة والجريئة فـي مجال التجارة‬
‫اللكترونيـة ‪ ،‬والذي قـد يمهـد الطريـق أمام مجالس معاييـر‬
‫المحا سبة ويمكن ها من ا ستنباط معاي ير خا صة تعالج عمليات هذا‬
‫النوع من التجارة غير التقليدية‪.‬‬
‫‪-4‬وفر المشروع للشركة المتعاملة بالتجارة اللكترونية وسيلة دعائية‬
‫جديدة توحـي للمتعامـل معهـا بأن إجراءات الحمايـة الخاصـة‬
‫بنظامها مثاليـة من منطلق أنه يتم تدقيق نظامها من قبل أفضل‬
‫مدققين بالعالم‪.‬‬
‫‪-5‬يعتقـد الباحـث بأن هذا المشروع جعـل الكثيريـن يتسـاءلون حول‬
‫ـل التجارة‬
‫ـة مشاكـ‬
‫ـبية بمعالجـ‬
‫ـة المحاسـ‬
‫ـة النظريـ‬
‫دور وفاعليـ‬
‫اللكترون ية ‪ ،‬وبالتالي قد يتم كن المخت صون من تطو ير النظر ية‬
‫المحاسـبية بش كل يتما شى مـع التغيرات التـي أحدثتهـا هذه التقنيـة‬
‫الجديدة‪.‬‬

‫‪143‬‬
 ‫‪-6‬دعـم المشروع للفكرة التـي تنـص على ضرورة مواكبـة كـل مـن‬
‫مهنـة التدقيـق والمحاسـبة للتغيرات التـي حدثـت على بيئة التجارة‬
‫الجديدة والمتمثلة بالتجارة اللكترونية‪.‬‬
‫تعليق الباحث‪:‬‬
‫رغـم سـلبيات وإيجابيات المشروع الذي قام الباحـث بتحليله ‪ ،‬إل انـه يعتقـد‬
‫بــأن المشروع وفـر له ركيزة جيدة سـتساعده على تطويـر نظام الربـط الذي سـيتم‬
‫اقتراحه في الفصل القادم وبالشكل التالي‪:‬‬
‫‪ -‬إمكان ية ال ستعانة بال سياسات النظر ية المقتر حة بالمشروع وتحويل ها إلى‬
‫سياسات عملية واضحة‪.‬‬
‫‪-‬ج عل نظام الر بط الذي سيتم اقترا حه متماش يا مع آليات ومبادئ التدق يق‬
‫المقترحة بالمشروع‪.‬‬
‫‪-‬إمكانية استنباط آليات الرقابة الواجب توفيرها في نظام الربط من المبادئ‬
‫والجراءات المقترحة بالمشروع‪.‬‬

‫‪144‬‬