المعلومات هي ثروة هذا العصر، ولا تملك منشأة، أو شركة، أو حتى فرد في المجتمع الحياة دون معلومات، فالقدرة على اتخاذ القرار، والتخطيط، وإدارة الأزمات، وتسيير الأعمال، وحتى الترفيه، كلها نشاطات تعتمد اعتمادًا كليًا على المعلومات، فكلما توافرت؛ نجحت المهمة، لذلك أصبح من يملك المعلومة قادر على التحكم والسيطرة، ونتيجة لتلك الأهمية التي تحظى بها المعلومات، ونظرًا لغزارتها اليوم أصبحت إدارتها أمرًا ملحًا لا غنى عنه؛ وإلا فلن نستطيع الاستفادة من هذا الكم الهائل من المعلومات، كما أن إدارة المعلومات Information Management هي جوهر التحول الرقمي لأي منشأة، ولأي فرد فهي منبع المعرفة، وأساس العمل المبدع، لأنها العملية المسئولة عن جمع البيانات، ومعالجتها، وحفظها لإنتاج المعلومات، وتوزيعها، وبدونها ستضيع الكثير من الكنوز.
تكتسب المعلومات أهميتها من واقع الدور الذي تمثله في تزويد الإنسان، بما يحتاج إليه من معارف يبني على ضوئها تقديراته، وتصوراته لما يتطلب منه القيام به، والمعلومات عنصر لا غنى عنه في أي نشاط يمارسه الأفراد والمجتمعات، وهي المادة الخام للبحوث العلمية، والمحك الرئيسي لاتخاذ القرارات الصحيحة، ومن يملك المعلومات الصحيحة في الوقت المناسب؛ يملك عناصر القوة والسيطرة في عالم متغير، يستند إلى العلم في كل شيء، ولا يُسمح بالارتجال والعشوائية.
وفي خضم ثورة التقدم العلمي والتكنولوجي الهائل، وخاصةً في مجالي الاتصالات، وأجهزة الحاسب وملحقاته، برزت الثورة المعلوماتيّة التي بنت المجتمع، وامتدت لتشمل معظم مجالات الحياة وجوانبها، فالثورة المعلوماتيّة هي التدفق الهائل من المعلومات في شتى مجالات المعرفة، وإتاحة وتوفر المعلومة عن طريق الوصول إليها، وتبادلها، وحفظها، واسترجاعها بكل سهولة وسرعة، وتنوع أسلوب الوصول إليها من خلال مستحدثات تكنولوجيا الاتصالات والمعلومات.
وهذا أيضًا أدى إلى ظهور ظاهرة جديدة، وهي تفجر المعلومات، وإتاحتها على شبكة الانترنت بأشكال مختلفة فمنها المتاح مجانًا، ومنها ما هو متاح بالدفع المقابل. وعلى الرغم من الإيجابيات التي أفرزتها ثورة المعلومات، وتفجر المعلومات من اختصار للوقت والجهد للوصول إلى المعلومة، وتسهيل عمل الباحثين في مختلف المجالات، وما فيها من فرص عديدة لتحقيق الإبداع والتميّز، فيما يتعلق بتنمية وتطوير الذات في شتى الميادين، إلا أنها أبرزت سلبيات مجتمعية كبيرة، من أبرزها التدفق الكبير والهائل للقيم السلبية، ونشر ثقافة الإباحية والانحلال الخلقي، والشذوذ بكل صوره، وذلك لانعدام الرقابة، وهو ما أبرز أهمية البحث في وجود رقابة فنية وأمنية، لحماية المجتمع من هذه المعلومات والقيم السلبية.
كما شهدت السنوات القليلة الأولى من القرن الحادى والعشرين، وتزامنًا مع الثورة المعلوماتية، والتقدم الهائل في تكنولوجيا المعلومات؛ تحولًا في دور الاستخبارات في العلاقات الدولية، إذ أصبحت قضايا الاستخبارات والأمن أكثر بروزًا من أي وقت مضى، بل إنّ الرأي العام بدأ أكثر اهتمامًا بدور الاستخبارات في درء التهديدات الأمنية، خاصةً المتعلقة بالإرهاب.
وأصبح التحليل الاستخباراتي من مصادر المعلومات المختلفة، من أهم التقارير اليومية التي يقرأها القادة، والرؤساء على مستوى العالم، لتمكينهم من اتخاذ القرارات في الموضوعات التي تهم الأمن القومي لدولهم، وتعتمد أجهزة المخابرات في إدارة مهامها على ما يسمى بـ “دورة الاستخبارات التحليلية” ويقصد بها العملية، التي يتم بموجبها الحصول على المعلومات، وتحويلها إلى منتج استخباراتي (مذكرة، تقرير، دراسة..)، ثم رفعها إلى صانع القرار. ويقصد بصانع القرار هنا رئيس الدولة، أو بعض المؤسسات الحكومية مثل القوات المسلحة، أو الأجهزة الشرطية، والتي ستساعدهم المعلومات الاستخباراتية على تحسين كفاءة اتخاذ القرار.
وحديثًا، ونظرًا لأهمية المعلومات في صنع واتخاذ القرارات على كافة المستويات، بدأت الأجهزة والهيئات، أو حتى الشركات الكبرى في تنفيذ عملية مماثلة لدورة الاستخبارات التحليلية، لمعاونتهم في صنع واتخاذ القرارات، أُطلق عليها إدارة المعلومات (Information management) حيث تشمل جميع مراحل العملية من تخطيط، وجمع، وتحليل، وتفسير، وحفظ المعلومات، وتوزيعها على المسئولين.
وتعد عملية جمع المعلومات من المصادر المختلفة، هي ثاني مرحلة في دورة الاستخبارات التحليلية (إدارة المعلومات)، وعادة ما تعتمد أجهزة الاستخبارات المختلفة على ستة أنواع من المصادر، تتمثل في استخبارات المصادر المفتوحة، والاستخبارات البشرية، واستخبارات الإشارة، واستخبارات الجغرافية المكانية، والاستخبارات القياسية، وتحديد البصمة، واستخبارات مواقع التواصل الاجتماعي.
وسيتم تناول استخبارات المصادر المفتوحة، واستخبارات مواقع التواصل الاجتماعي فيما يلي؛ حيث أصبحت من أكثر المصادر لجمع المعلومات، وتتضارب التقديرات حول حجم إسهام استخبارات المصادر المفتوحة مقارنة بالمصادر الأخرى في بيانات أجهزة الاستخبارات، وذلك نظرًا لاختلاف هذه النسبة من دولة لأخرى، وحتى بين أجهزة المعلومات المختلفة العاملة في نفس الدولة، ولكنها تظل تشكل مصدر المعلومات الرئيسي لدى أغلب الأجهزة، إذ تشكل تقريبا حوالي 70 – 80% من بيانات أجهزة الاستخبارات الأمريكية، وذلك على النحو التالي:
1- استخبارات المصادر المفتوحة (Open Source Intelligence):
توصف المصادر المفتوحة داخل الدوائر الاستخباراتية باعتبارها الخطوة الأولى للحصول على المعلومات، بينما يصفها البعض الآخر على إنها “شريان الحياة للاستخبارات”، وذلك نظرًا لتوفرها بسهولة، وإمكانية مشاركة البيانات الخاصة بها بلا قيود.
ويعود تاريخ استخدام استخبارات المصادر المفتوحة إلى عصر اختراع الطباعة، ولذلك يمكن تعريفها على أنها: “المعلومات المتوفرة بطريقة علانية إلى أي شخص بطريقة قانونية، سواء كان ذلك عبر طلبها، أو قراءتها، أو عبر شرائها، والتي يتم بعد ذلك تدقيقها، وتحليلها من أجل تنفيذ الاحتياج الاستخباراتي، ويلاحظ أنّ استخبارات المصادر المفتوحة تساعد في توجيه أجهزة الاستخبارات للمعلومات، التي يجب جمعها، فلا يمكن للمحلل الاستخباراتي أن يفهم المعلومات التي يحصل عليها من المصادر البشرية، أو الإلكترونية، ما لم يكن يمتلك فهمًا عميقًا للعالم وما يجري فيه.
ويلاحظ أنّ استخبارات المصادر المفتوحة لا تتعلق بالفضاء السيبراني فقط، ولكنها تضم عدد كبير من المصادر، بعيدًا عن الإنترنت ومواقع التواصل الاجتماعي، إذ أنها تشير إلى قنوات الراديو، والتلفزيون، وكذلك الكتب والمجلات، بالإضافة إلى كل الوثائق والتقارير التي تصدرها الحكومات، أو تفرج عنها طبقًا لنظام الدولة. بالإضافة إلى قنوات الراديو غير الشرعية، والكتيبات الفنية، ويدخل ضمن هذه الفئة ما يعرف باسم “الأدب الرمادي” (Gray Literature)، وتعرّفها الحكومة الأمريكية على أنها “المواد مفتوحة المصدر”، الأجنبية أو المحلية، التي تتوفر عادةً من خلال قنوات متخصصة، ولا تمر بالقنوات العادية، أو أنظمة النشر والتوزيع المتعارف عليها، كما لا يتم الحصول عليها من قبل منافذ بيع الكتب، أو الحصول عليها من خلال الاشتراك، أي أنها المعلومات ذات التوزيع المحدود، ويدخل في هذا الإطار، كتيبات المنتجات، ودراسات الحالة، وما يتم طرحه في الندوات، والرسائل الجامعية بالإضافة إلى النشرات والتقارير المهنية، وبراءات الاختراع والتقارير الفنية، والصحف غير الشرعية، والتي يتم نشرها عادةً من قبل المؤسسات البحثية، والحكومات، والناشرين من القطاع الخاص، والشركات، والجمعيات التجارية، والنقابات، ومراكز الفكر، والأوساط الأكاديمية.
وعلى الرغم من الأهمية القصوى لاستخبارات المصادر المفتوحة، فإنّ أبرز المشاكل التي تعترضها، هو الكم الهائل من المعلومات، والتي تفوق قدرة أي جهاز استخباراتي على تدقيقها ومراجعتها، بمعنى آخر، اكتشاف المعلومات الصالحة، والمعلومات المدسوسة، وفي النهاية فالحديث عن كم هائل من المعلومات لا يمكن إغفاله، وفي نفس الوقت يحتاج قوة بشرية مدربة لفرزها، وتدقيقها حتى تصلح للأخذ بها في أي منتج مخابراتي.
2- استخبارات مواقع التواصل الاجتماعي (SOCMINT): باتت العديد من أجهزة الاستخبارات في العالم، تعتمد على مواقع التواصل الاجتماعي للحصول على المعلومات الاستخباراتية، خاصةً مع قيام الأفراد بنشر العديد من المعلومات حول أنفسهم وحياتهم الشخصية، ووضعهم الاجتماعي والاقتصادي، فضلًا عن توجهاته الثقافية والسياسية، ومن ثَمّ بات بالإمكان جمع هذه المعلومات معًا لإعداد ملف كامل عن الفرد (بروفايل)، بالإضافة إلى معرفة علاقاتهم الاجتماعية والأسرية.
وقد يمثل استغلال البيانات على مواقع التواصل الاجتماعي في بعض الحالات مصدر لتهديد أمن الدول، على نحو ما حدث في فضيحة “كامبريدج أناليتيكا” Cambridge Analytica “، حيث تمكنت الشركة من التأثير على مسار الانتخابات الرئاسية الأمريكية في عام 2016م، واتهمت أجهزة الأمن الأمريكية الشركة، ليس فقط بمحأولة قياس توجهات الرأي العام السياسي خلال الانتخابات والتأثير عليه، ولكن لقيامهم بجمع معلومات عن المستخدمين واستهدافهم، دون موافقتهم على استخدام بياناتهم من قبل الشركة.
وترتيبًا على ما سبق فقد برز حجم المعلومات وأهميتها، والتي يمكن أن تحصل عليها أجهزة المعلومات في الدولة، فقط من نوعين من المصادر المتيسرة لأي جهاز، وهي المصادر المفتوحة، ومنصات التواصل الإجتماعى، ويرتب هذين المصدرين لوجود حجم هائل من المعلومات، حالة توظيفها وتحليلها بأسلوب احترافي، فإنّ سرقتها، أو تغييرها، أو حجبها قد يؤثر على قرارات الدولة بملفات تهم الأمن القومي، لذلك كان من الأهمية بمكان أن يتزامن مع جمع المعلومات، وتحليلها من مصادرها المختلفة، وأن يكون هناك استراتيجية واضحة لأمن المعلومات داخل جميع الأجهزة العاملة في مجال المعلومات.
استراتيجية أمن المعلومات
تعتبر المعلومات في هذا العصر كنز عظيم ومهم، لاسيما في ظل وجود تكنولوجيا المعلومات التي ساهمت بشكل فعّال في معالجة، تخزين، وبث المعلومات، وبالتالي امتلاكها يُشكل قوة لصاحبها، لكن نجد أنّ إمكانية العدوان، والتخريب، والتجسس على هذه المعلومات يفرض علينا توفير قدر من الحماية يتناسب مع مستوى أهمية المعلومات.
أهميّة أمن المعلومات
لا شكّ أنّ لمجال أمن المعلومات أهميّة كبيرة، وتتجلّى هذه الأهمية في القيام بتأمين المعلومات بكافة أشكالها، وحمايتها من الأخطار التي تحيط بها، ويقوم هذا المجال بتوفير الحماية والأمان لغرف حفظ الوثائق، من الدخول لأشخاص غير مخول لهم، والحواسب من البرمجيات الخبيثة، والتي تعد أكبر عدو للحواسب، ومجال أمن المعلومات هو من المجالات الحيوية، والمتجدّدة والمطلوبة كثيرًا، إذ لا غنى عنه أبدًا، وهذا المجال هو علم قائم بحد ذاته، ويدرس هذا العلم في بعض الجامعات، والمراكز التعليمية، وتمنح فيه شهادات متعدّدة، مثل: شهادة البكالوريوس، وشهادة الماجستير، والدكتوراه.
مفهوم أمن المعلومات
من الناحية الأكاديمية، هو العلم الذي يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها، ومن أنشطة الاعتداء عليها
من الناحية التقنية، هو الوسائل، والأدوات، والإجراءات، اللازم توفيرها لضمان حماية المعلومات من الأخطار الداخلية والخارجية.
من الناحية القانونية، نجد التعريف قد أخذ منحى آخر لكونه يركز على التدابير، والإجراءات التي من شأنها حماية سرية، وسلامة، وخصوصية محتوى، وتوفر المعلومات، ومكافحة أنشطة الاعتداء عليها، أو استغلال نظمها الإلكترونية في ارتكاب الجريمة المعلوماتية.
وخلاصة القول، إنّ أمن المعلومات يعني في المجمل مجموعة الوسائل، والطرق المعتمدة، للسيطرة على المعلومات، وحمايتها بكافة أشكالها من الاختراق، أو اطلاع الأشخاص غير المخول لهم الاطلاع عليها، فقد يتم الكشف عنها، أو توزيعها، أو تعديلها، أو تدميرها، أو حذفها، سواء كانت هذه المعلومات مكتوبةً على ورق، أو محفوظةً باستخدام وسائل الحفظ المختلفة، أو موجودةً على الإنترنت، مع الحرص على عدم المبالغة التي قد تؤثر على عنصر الأداء، وكذلك عدم التساهل في الإجراءات الأمنية بشكل لا يكفل الحماية الواجبة.
مهددات أمن المعلومات
1 – السرقة أو النسخ للوثائق التي تحوي معلوماتٍ ذات سرية عالية وتشمل سياسات، وخطط، وتقديراتٍ مستقبليةً في كافة المجالات.
2- الفيروسات (Viruses): تعرف الفيروسات بأنها برامج تخريبية صغيرة، تم تصنيعها لأهداف غير مشروعة، وتُهاجم الملفات المحفوظة في جهاز الحاسب، وتُكتب على أيدي مبرمجين محترفين يهدفون لإلحاق الضرر بحاسب مستخدم آخر، وتمتاز الفيروسات بقدرتها على التناسخ، والانتشار بشكل كبير.
3ـ- هجمات الحرمان من الخدمة (Denial of Service Attacks): وتعرف أيضًا بهجوم حجب الخدمة، وهي عبارة عن هجوم يشنّه قرصان، وذلك بإمداد المواقع بكميّاتٍ هائلة من البيانات غير الضرورية، وتكون محمّلةً بالبرامج الخبيثة التي تنشر داءها فور وصولها إلى الجهاز، فتبدأ بالدمار، فيؤدّي في بداية الأمر إلى تراجع مستوى الخدمة الخاصة بالاتصال بالإنترنت، ويُسبّب صعوبةً في الوصول إلى الخدمات، نظرًا لضخامة البيانات المرسلة إلى الجهاز.
4- هجمات المعلومات المرسلة: يركّز هذا النوع من الهجوم على المعلومات المرسلة؛ إذ يقف عائقًا في طريقها، ويمنعها من مواصلة مسيرها إلى الناحية الأخرى، ويكثر انتشار هذا النوع في حال إرسال الرسائل بواسطة الإنترنت، أو حتى الشبكات المتّصلة بشبكات الهواتف العامة.
5- هجوم السيطرة الكاملة: يقع الجهاز المستهدف في هذه الحالة تحت سيطرة القرصان بشكل كامل، ويتحكّم به، وبجميع الملفات الموجودة به بكل سهولة ويسر، فيبدأ التهديد واستغلال نقاط الضعف التي تحتويها أنظمة التشغيل، ويكون ذلك بواسطة تضمين ملف صغير الحجم في الجهاز المستهدف.
مبادئ أمن وحماية المعلومات
1- السرية (Confidentiality): يشير هذا المصطلح إلى الحد من قدرة الأفراد غير المخولين بالوصول إلى المعلومات، وكشفها، والاطلاع عليها، وقد يتم ذلك من خلال وضع أرقام سريّة يجب تعدّيها للوصول إلى المعلومات. وتعد بطاقة الائتمان من أكثر الأنظمة التي تخضع لسرية عالية؛ إلا أنها بالرغم من ذلك تتعرض للانتهاك والسرقة، وتكمن السرية في بطاقات الائتمان بالتشفير لرقم البطاقة.
2- التكاملية (Integrity): وهي سلامة المعلومات، والتأكد من عدم العبث بمحتوى المعلومات سواء بالحذف، أو التعديل، أو التدمير، في أي مرحلةٍ من المراحل، سواء من خلال التعامل الداخلي مع المعلومات من جهة، أو شخص غير مخوّل له بذلك، أم تدخل خارجي غير مشروع.
3- التوافر(Availability): يستلزم في أي منظومة تستخدم أنظمة معلومات خاصة بها توفّر البيانات فور طلبها والحاجة إليها، وحتى يتوفّر ذلك لا بد لعناصر النظام أن تعمل على أكمل وجه، ويشمل: ضمان عمل أنظمة الحاسوب بشكل صحيح وسليم، وخاصةً تلك المستخدمة في تخزين المعلومات ومعالجتها.
” يطلق على المبادئ الثلاثة السابقة الثالوث” (CIA)
عناصر تهديد بيئة المعلومات
تطال المخاطر والاعتداءات في بيئة المعلومات خمسة مواطن أساسية، هي أربعة من مكونات تقنية المعلومات، والخامسة هى العنصر البشرى:
1- الأجهزة: وهي كافة المعدات، والأدوات المادية التي تتكون منها نظم المعلومات، كالشاشات، والطابعات، ومكوناتها الداخلية، ووسائط التخزين المادية وغيرها .
2- البرامــج: وهي الأوامر المرتبة في نسق معين لإنجاز الأعمال، وهي إما مستقلة عن النظام، أو مخزنة فيه .
3- المدخلات والمخرجات: وهي تشمل كافة البيانات المدخلة، والمعلومات المستخرجة عقب معالجتها، وتمتد بمعناها الواسع للبرمجيات المخزنة داخل النظم، والمعطيات قد تكون في طور الإدخال، أو الإخراج، أو التخزين، أو التبادل بين النظم عبر الشبكات، وقد تخزن داخل النظم، أو على وسائط تخزينٍ خارجية .
4- الاتصـالات: وتشمل شبكات الاتصال التي تربط أجهزة النظام بعضها بعضًا محليًا، وداخليًا ودوليًا، وتتيح فرصة اختراق النظم عبرها كما أنها بذاتها محل للاعتداء، وموطن من مواطن الخطر الحقيقي.
5- العنصر البشرى: سواء المستخدم أو الشخص المناط به مهام تقنية معينة تتصل بالنظام، فإدراك هذا الشخص حدود صلاحياته، وإدراكه آليات التعامل مع الخطر، وسلامة الرقابة على أنشطته في حدود احترام حقوقه القانونية، مسائل رئيسة يعنى بها نظام الأمن الشامل، تحديدًا في بيئة العمل المرتكزة على نظم الكمبيوتر، وقواعد البيانات.
مقاييس حماية المعلومات
هناك مقاييس يتم استخدامها لحماية المعلومات ويرمز لها جميعًا بالرمز((AAA وهي:
1 – التحكم بالوصول (Access control) ويتم من خلالها استخدام الطرق المختلفة التي تمنع وصول الأشخاص الغير مخول لهم إلى الشبكة، أو الأجهزة.
2- إثبات الصلاحيّة ( Authentication) ويتم من خلالها التأكد من صحة المستخدمين للنظام أو المعلومات.
3- التدقيق (Auditing) ويتم من خلال هذه الخطوة التأكد المستمر من سلامة المعلومات، وعدم تعرّضها للاختراق، أو التعديل، واكتشاف المخترقين في أي وقتٍ.
خطوات حماية وتأمين المعلومات
1 – هناك نوعين من الحفظ للمعلومات، فهي إما حفظ في شكل وثائق ورقية ( مكاتبات – خرائط – صور)، أو حفظ إلكتروني بأجهزة الحاسب، أو وسائط الحفظ.
2 – تحديد وتصنيف المعلومات المراد حمايتها، ومدى حاجتها للحماية لمعرفة مستوى الحماية المطلوبة.
3 – تحديد المخاطر والتهديدات، التي تواجه المعلومات لمعرفة الطرق المناسبة التي يمكن اتباعها لحمايتها
4 – تحديد طرق الحماية المناسبة على كافة المستويات، مثل بصمة الأصبع، أو بصمة العين، أو كلمات السر، أو تشفير المعلومات، وغيرها الكثير من الطرق.
5 – المتابعة المستمرة لتنفيذ إجراءات الأمن، ووضع الخطط البديلة في حال تم اختراق طرق الحماية الأولى، من أجل التأكد من حماية المعلومات.
مستويات استراتيجية أمن المعلومات
ومما سبق استعراضه من أهمية، وتهديدات لأمن المعلومات، ولسهولة التأمين، والسيطرة على المعلومات يجب تقسيم مستويات تأمين المعلومات إلى أربعة مستويات: ( على مستوى الدولة – على مستوى الأفراد – على مستوى وثائق المعلومات سواء ورقية أو إلكترونية – على مستوى غرف الوثائق وأجهزة الحاسب). وهي كالآتي:
المستوى الأول: على مستوى الدولة:
هناك استراتيجيات متبعة لحماية وتأمين المعلومات الحكومية على مستوى الدول، وهي تختلف من دولة لأخرى وهي:
أ- الاستراتيجية الأولى: كل ما هو ليس ممنوعًا مسموح.
ب- الاستراتيجية الثانية: كل ما هو ليس مسموحًا ممنوع.
تستخدم الدول المتقدمة الاستراتيجية الأولى في عملية الدخول (Access) إلى المعلومات الحكومية، حيث تعمل على تحديد ما هو ممنوع، وبالتالي ينتج لديها نسبة بسيطة جدًا لما هو سريٌّ وممنوع، مما يسهّل عليها تأمينه وحمايته.
والاستراتيجية الأولى مبنية على التقدم التكنولوجي، لخدمة حماية وتأمين المعلومات، فهي تصنع تفاصيل دقيقة، وإجراءات محددة، وتطبق على جميع المستويات من قبل الجميع، ولا تستطيع أية جهة التعامل مع المعلومات دون الالتزام التام بهذه الإجراءات، وهي مبنية داخل نظام الحاسب من لحظة ولادتها.
أما معظم دول العالم الأخرى، فالدخول إلى المعلومات الحكومية محكوم بالاستراتيجية الثانية، التي تعمل على تحديد ما هو مسموح، وبالتالي ينتج لديها نسبة عالية جدًا لما هو سريٌّ وممنوع، مما يصعّب عليها تأمينه وحمايته، ومعظم دول العالم الثالث تطبق الاستراتيجية الثانية، وبطرق تختلف من موقع إلى آخر، وحتى من شخص إلى آخر، ومدى فهمه ووعيه لحماية وأمن المعلومات.
المستوى الثاني: على مستوى الأفراد:
يجب التعريف الدقيق لمهمة كل فرد يعمل في المؤسسة، المنظمة، الوزارة، ومسئولياته، وتخصيص رقم كود له. هذا الرقم يخول له الدخول إلى غرف الوثائق، أو الحاسب الشخصي له في المكتب.
التحديد الدقيق لصلاحية كل فرد داخل المؤسسة طبقًا لوظيفته، وطبيعة عمله من حيث الدخول إلى غرف الوثائق، أو الحواسب والمعلومات المخول له الإطلاع عليها، ومدى صلاحياته في الإضافة – الحذف – التعديل.
مراعاة العاملين في المؤسسة / الإدارة عدم ترك أي وثائق مهما كانت درجة سريتها على مكاتبهم عند المغادرة، وحفظها داخل دولاب الوثائق بالمكتب.
الرصد والتسجيل الدقيق لدخول وخروج الأفراد إلى غرف الوثائق، وأجهزة الحاسب، والإجراءات التي قاموا بها.
المستوى الثالث: على مستوى الوثائق الورقية أو الإلكترونية:
التصنيف الدقيق لأية وثيقة، أو رسالة لحظة إنشائها، والحرص على ذلك التصنيف عند تدوالها، أو تخزينها، أو تحولها، أو جزء منها من شكل إلى آخر.
بمجرد إنشاء وثيقة سواء ورقية “مكتوبة – مصورة”، أو إلكترونية لا بد من التحديد الدقيق للآتي:
أ- درجة سرية الوثيقة ” سريٌّ للغاية – سريٌّ جدًا – سريٌّ – محظور – بدون “.
ب- تحديد المخول لهم بالاطلاع على الوثيقة ” تكتب بأكواد الأفراد وليس الأسماء “.
جـ- إمكانية النسخ أو التعديل من عدمه للوثيقة، ومن هم المخول لهم ذلك.
المستوى الرابع: على مستوى غرف الوثائق والأجهزة:
متابعة عملية تسجيل الدخول والخروج إلى غرف الوثائق، أو أجهزة الحاسب، ومعرفة الإجراءات التي تمت وتسجيلها ” التوقيت – الشخص – الإجراء – البيانات التي تم الاطلاع عليها، والإجراءات التي تمت حياله”.
متابعة تنفيذ إجراءات أمن الوثائق والمعلومات بكل دقة واستمرارية، واكتشاف وتحديد أي دخول، أو خروج غير مسموح به، ومنعه، وتسجيله، والإبلاغ عنه فورًا.