Skip to main content

الرقابة على تقنية المعلومات

ديوان المحاسبة الليبي

أغسطس 2, 2025

المقدمة

في إطار تطوير قدرات الجهات الرقابية وتعزيز فاعلية الدور الرقابي في مجال الحوكمة الرقمية، نُظمت جلسة فنية بعنوان “الرقابة على تقنية المعلومات”، قدمها الأستاذ/ عبد الحميد الديب من مكتب تقنية المعلومات بديوان المحاسبة.

هدفت هذه الجلسة إلى تسليط الضوء على المفاهيم الأساسية لرقابة تقنية المعلومات، وبيان أهميتها في ضمان الكفاءة التشغيلية وحماية البنية التحتية الرقمية، واستعراض المنهجيات المتبعة في تنفيذ هذا النوع من الرقابة، إلى جانب عرض أبرز المعايير الدولية والمحلية التي تستند إليها العملية الرقابية، والضوابط الفنية والتنظيمية المعتمدة.

استُهلت الجلسة بعرض تاريخي حول نشأة الرقابة على تقنية المعلومات في ليبيا، فأوضح المحاضر أن هذا التخصص بدأ يأخذ شكله المؤسساتي في سنة 2012م، عن طريق مبادرة أطلقتها مؤسسة IDI، وهي مؤسسة دولية تُعنى بتطوير قدرات الأجهزة الرقابية في القارات إفريقيا وآسيا وأوروبا. وقد ساهمت هذه المبادرة في بناء فهم أعمق لمفهوم الرقابة التقنية، وتبادل التجارب والخبرات بين الدول.

أكد الأستاذ عبد الحميد أن الرقابة على تقنية المعلومات ليست مجرد تقييم لوجود أجهزة أو أنظمة تشغيل، بل هي عملية شاملة تتضمن فحصًا دقيقًا للبنية التحتية الرقمية للجهة، وتحليلًا للأدلة والبيانات المرتبطة بالأداء التقني، بهدف التأكد من فاعلية الأنظمة، وضمان أمن المعلومات، وتعزيز الامتثال للمعايير المعتمدة، ثم إنه شدد على أن هذه الرقابة تُعد أداة محورية في تعزيز الشفافية، والحد من المخاطر، وضمان استمرارية تقديم الخدمات العامة بكفاءة.

محاور الورشة

المحور الأول: مفهوم الرقابة على تقنية المعلومات

جرى في هذه الجلسة توضيح أن الرقابة على تقنية المعلومات تهدف إلى ضمان توافر المعلومات عند الحاجة إليها، والحفاظ على سريتها من الوصول غير المصرح به، وضمان نزاهتها حتى لا يجري التلاعب بها أو تغييرها دون تفويض. وتُعرف هذه المبادئ الثلاثة في علم أمن المعلومات بـ: التوفر (Availability)، السرية (Confidentiality)، والنزاهة (Integrity).

وأشار المحاضر إلى أن الجهات العامة تعتمد على منظومات تقنية مختلفة لتنفيذ أعمالها اليومية، ما يجعل من الضروري فحص هذه المنظومات وضمان مطابقتها للمعايير الأمنية، إضافة إلى تحليل مدى اعتماد الجهة على تلك الأنظمة، وما إذا كانت تتّبع ممارسات فعّالة لحمايتها وصيانتها.

المحور الثاني: فئات الأصول الخاضعة للرقابة

تناولت الجلسة فئات الأصول التي قُيّمت في عملية الرقابة، والتي صُنّفت إلى أربع فئات رئيسية، وهي:

  • أصول المعلومات: وتشمل جميع أشكال البيانات والمحتوى الرقمي الذي تنتجه الجهة أو تعتمد عليه.
  • الأصول التقنية: مثل أجهزة الحاسوب والخوادم والشبكات وأنظمة التشغيل، التي تمثل البنية التحتية لتقنية المعلومات.
  • العنصر البشري: ويشمل العاملين داخل الجهة ومدى وعيهم والتزامهم بسياسات الأمن السيبراني.
  • أصول الخدمة: أي المكونات التي تُمكن من تقديم الخدمات الرقمية للمستفيدين أو الجهات الأخرى.
  • وقد أوضح المحاضر أن الرقابة لا تكتفي بفحص النظام فحسب، بل تشمل السياق المؤسسي كله، بما في ذلك ثقافة الأمن السيبراني، والإجراءات التشغيلية، ومدى وجود خطط استجابة للطوارئ.

المحور الثالث: المنهجية المتبعة في تنفيذ الرقابة

عرض المحاضر الخطوات العملية المتبعة عند تنفيذ عملية رقابة تقنية المعلومات داخل الجهات العامة، التي تبدأ بمرحلة التقييم المبدئي للجهة لفهم طبيعة عملها، والأدوار التقنية التي تعتمد عليها، وتحديد الأولويات العامة.

تلي ذلك مرحلة تقييم المخاطر، التي يجري فيها حصر نظم المعلومات المستخدمة داخل الجهة، وتحديد الأنظمة الحساسة التي تُعد ذات أهمية عالية لاستمرارية العمل، ثم تُحلّل المخاطر المحتملة التي قد تؤثر على هذه الأنظمة، وترتب أولويات المراجعة بناءً على درجة الخطورة والتأثير المحتمل.

بعدها، تنتقل العملية إلى مرحلة جمع الأدلة، باستخدام أدوات متعددة مثل إجراء مقابلات مع العاملين في الجهة، وتوزيع استبيانات، ومراجعة الإجراءات المكتوبة، إضافة إلى تحليل سير العمليات باستخدام المخططات الانسيابية (flowcharts).

بعد ذلك تأتي مرحلة اختبار الضوابط التقنية، التي تشمل اختبار أنظمة الحماية التقنية ومدى فاعليتها، والتحقق من أن الضوابط المعتمدة تشمل ضوابط وقائية (لمنع الخلل)، وضوابط كشفية (للكشف عن المشكلات في حال حدوثها)، وضوابط تصحيحية (للتعامل مع الخلل بعد وقوعه). كما يجري التحقق من مدى امتثال التطبيقات والأنظمة لمتطلبات الأمن السيبراني.

تُختتم المنهجية بإعداد تقرير نهائي شامل، يتضمن النتائج التي جرى التوصل إليها، والتوصيات المتعلقة بمعالجة الثغرات والتحسينات المقترحة، ثم يقدم إلى الإدارة العليا في الجهة المعنية.

المحور الرابع: المعايير المعتمدة في الرقابة

أكد المحاضر أن ديوان المحاسبة يستند في عملية الرقابة إلى معايير دولية معتمدة، أبرزها:

  • معيار ISO/IEC 27001، الذي يُعد إطارًا متكاملًا لإدارة أمن المعلومات داخل المؤسسات.
  • معايير إدارة الخدمات التقنية وأمن نظم المعلومات.
  • أطر العمل الصادرة عن مؤسسة ISACA، ومنها إطار إدارة مخاطر تكنولوجيا المعلومات، وإطار الممارسات المهنية لتقنية المعلومات.

وفي السياق المحلي، أشار إلى الجهود المستمرة لتطوير معايير وطنية للرقابة على تقنية المعلومات، التي تأخذ في الاعتبار خصوصية السياق الليبي، والاحتياجات الفعلية للجهات العامة، والتحديات التي تواجهها.

المحور الخامس: أنواع الضوابط الرقابية

تطرقت الجلسة إلى تصنيف الضوابط الرقابية إلى نوعين رئيسيين:

  • ضوابط عامة: وهي الضوابط التي تنطبق على البنية التحتية والممارسات العامة في الجهة.
  • ضوابط خاصة بالتطبيقات: وتُقسم إلى ثلاث مراحل:
  • ضوابط المدخلات، للتأكد من دقة البيانات التي تدخل النظام وسلامتها.
  • ضوابط العمليات، لضمان أن النظام ينفذ العمليات كما هو مخطط لها.
  • ضوابط المخرجات، للتحقق من عد التلاعب بالنتائج وأنها تُرسل إلى الجهات المستفيدة فقط.

لقد شدد المحاضر على أهمية تطبيق هذه الضوابط بصورة متكامل، لأنها تمثل الأساس في حماية الأنظمة من الفشل أو الاستغلال.

الخاتمة والتوصيات

في ختام الجلسة، أكد الأستاذ/ عبد الحميد الديب أن الرقابة على تقنية المعلومات صارت اليوم عنصرًا أساسيًّا لا يمكن تجاهله في إطار الحوكمة الرشيدة وحماية المال العام. وأوضح أن فاعلية هذه الرقابة تعتمد اعتمادًا كبيرًا على بناء كوادر رقابية مؤهلة، واتباع منهجيات دقيقة تستند إلى المعايير الدولية، مع مراعاة الخصوصية المؤسسية والسياق المحلي.

وقد خلصت الجلسة إلى عدد من التوصيات المهمة، من أبرزها:

  1. ضرورة الاستمرار في بناء قدرات العاملين وتطويرها في مجال رقابة تقنية المعلومات، بالتدريب والتأهيل المستمرين.
  2. التأكيد على تطبيق المعايير الدولية والمحلية بطريقة متوازنة؛ لضمان شمولية الرقابة وفاعليتها.
  3. إعطاء أهمية كبيرة لعملية تحليل المخاطر عند التخطيط للمراجعات الرقابية، لتوجيه الجهد نحو الأنظمة الأكثر حساسية.
  4. التركيز على مبادئ أمن المعلومات (التوافر – السرية – النزاهة) فهي أعمدة أساسية في عمليات التقييم.