ارسل ملاحظاتك

ارسل ملاحظاتك لنا







معايير تقدير الحجم الامثل للاستثمار في أمن المعلومات

المصدر: مجلة البحوث الأمنية
الناشر: كلية الملك فهد الأمنية - مركز البحوث والدراسات
المؤلف الرئيسي: العربى، نبيل صلاح (مؤلف)
المجلد/العدد: مج23, ع59
محكمة: نعم
الدولة: السعودية
التاريخ الميلادي: 2014
التاريخ الهجري: 1435
الشهر: ذوالحجة / أكتوبر
الصفحات: 131 - 168
ISSN: 1658-0435
رقم MD: 615743
نوع المحتوى: بحوث ومقالات
اللغة: العربية
قواعد المعلومات: EcoLink
مواضيع:
رابط المحتوى:
صورة الغلاف QR قانون

عدد مرات التحميل

49

حفظ في:
المستخلص: مع زيادة حجم الخسائر المادية الناجمة عن الجرائم المعلوماتية، وارتفاع تكاليف التعامل مع هذه الجرائم؛ تقوم المنظمات على اختلاف أحجامها بتخصيص جزء من مواردها للاستثمار في أمن المعلومات وأنظمة المراقبة الإلكترونية. وفي هذا الإطار تهدف هذه الدراسة إلى صياغة إطار اقتصادي للاستثمار في أمن المعلومات، وبيان المعايير الاقتصادية التي يراعى الاسترشاد بها عند اتخاذ القرار المتعلق بالإنفاق الاستثماري في هذا المجال. وتبدأ الدراسة بعرض المصطلحات والمفاهيم الأساسية المرتبطة بالموضوع، وصياغة الإطار النظري لاقتصاديات أمن المعلومات، الذي يشرح المبادئ الاقتصادية التي تحكم أنشطة أمن المعلومات. يلي ذلك شرح لاستراتيجية إدارة المخاطر ومنهجية تقييم المخاطر بخطواتها الخمس، ثم تتم مناقشة المدخلين الوصفي، الكمي لتحليل المخاطر مع ترجيح الأخير، وشرح للمقاييس المختلفة المرتبطة به، وهي الخسائر المتوقعة من حادث واحد ومعدل تكرار الخطر والخسائر المتوقعة سنويا. ثم تشرح الدراسة كيفية تطبيق مدخل المنافع/ التكاليف في مجال أمن المعلومات، وكيفية تقدير المنافع والتكاليف، ومعايير الاستثمار المتاحة. وتنتهي الدراسة إلى بعض التوصيات؛ أبرزها زيادة المكون الخاص بالأمن في ميزانية تقنية المعلومات، وتطبيق منهجية تقييم المخاطر وتوثيقها، وعمل سجل تاريخي للحوادث المعلوماتية، واعتماد التحليل الكمي للمخاطر مع دعمه بآراء الخبراء التي تفسر وتحلل الخبرة الميدانية. وأخيرا اعتماد مدخل تحليل المنافع / التكاليف لتعظيم العائد على الاستثمار في أمن المعلومات، مع تفضيل معيار "معدل العائد الداخلي" لدقته.

With the increased size of materialistic losses resulting from information cyber crimes and the increased cost to deal with them, allocates organizations of all sizes part of their resources for the investment in information security and electronic control systems. The study aimed to form an economic framework for information security investment and to show economic standards as guidelines upon taking a decision on investment expenditure in this respect. Displaying the basic concepts and terms on the topic under discussion and forming the theoretical framework of information security economics that explain economic principles controlling information security activities, the researcher would illustrate risk management strategy and risk assessment approach along with its five steps. After that, he would discuss the descriptive and quantitative approaches for risk analysis, giving preponderance to the latter. Then the researcher would discuss different measurements in relation to the quantitative approach such as loss expected from one accident, risk frequency rate, and annually expected losses. Afterwards, he would explain the way to apply cost- benefit approach in the field of information security and to assess costs and benefits and investment standards available. The researcher made some recommendations foremost of which are increasing the component pertaining to security in information technology budget, applying and documenting risk assessment approach, making historical log files of information incidents, and adopting risk quantitative analysis and cost- benefit approach to aggrandize profits of information security investment, preferring internal rate of return.

ISSN: 1658-0435

عناصر مشابهة