كشف ديوان الرقابة المالية والإدارية عدم قيام ديوان الخدمة المدنية بمراقبة سجلات تدقيق النظام والتي تتم من قبل فريق العمل المتمتع بصلاحية إدارة النظام ويمنحهم ذلك تعديل سجلات عمليات التدقيق بالزيادة أو الحذف مما يترتب عليه مخاطر بعدم تضمينها في الأحداث والعمليات ذات الصلة، إضافة لعدم وجود مراجعة دورية لعمليات التدقيق وتتم فقط عندما يبلغ عن وجود خلل.
وأوضح تقرير الديوان أنه لوحظ مشاركة مسؤول النظام الذي لديه أعلى مستوى من الصلاحيات ومسؤول قاعدة البيانات ومسؤول نظام التشغيل بين أعضاء فريق الدعم الفني مما يشير لعدم الالتزام بسياسة حماية المعلومات ويمنح الموظفين الدخول الكامل لقاعدة البيانات ونظام التشغيل.
ولوحظ أن الخدمة المدنية لا تفصل بين المهام بينما تحدد اختصاصات متعارضة للشخص ذاته، كما إنها لا تملك حساباً مستخدماً مخصصاً لتحديد مشكلات النظام وحلها.
ويمنح الخدمة المدنية فريق التطوير الدخول المؤقت للإنتاج خلال عملية إعداد صرف الرواتب مما يؤدي لإساءة استخدام تلك الصلاحيات للقيام بتعديلات غير مصرح بها وعدم القدرة على تحديد المسؤول عنها.
ووجد أن تفاصيل موظفي الجهات الحكومية مثل الدرجة والراتب وتاريخ التعيين وغيرها يتم حفظها في بيئة اختيار التطبيق والتي غالباً خلال عملية الاختبار يمنح الدخول غير المقيد للأشخاص المشاركين فيه مما يجعل المعلومات الحساسة والشخصية للموظفين الحكوميين متاحة لجهات غير مصرح لها الاطلاع عليها.
وبين تقرير الرقابة أن الحسابات العامة المعدة للدخول على النظام لأغراض مختلفة كالتدريب يتم استخدامها من قبل الدعم الفني للدخول لمختلف قواعد بيانات «أوراكل»، كما يتم الدخول للتطبيقات وقواعد البيانات باستخدام حساب مسؤول النظام الافتراضية الموجودة أصلاً بالنظام مما يترتب عليه مخاطر متزايدة بدخول غير مصرح للنظام وعدم القدرة على المساءلة عن الأنشطة التي يتم تنفيذها باستخدام تلك الحسابات.
وأضاف أن الخدمة المدنية لا تتخذ أي إجراءات محددة وموحدة لإعادة احتساب ساعات العمل الشهرية وفقاً لنظام الحضور والانصراف ومطابقته مع تلك المحولة إلى نظام الموارد البشرية ما يصعب اكتشاف أي فروق بينهم. وأظهر التقرير أن مورد النظام في الخدمة المدنية لا يقم بزيارات الصيانة الوقائية وفقاً للعقد المبرم معه مع عدم وجود متابعة كافية من الجهات المعنية بديوان الخدمة لعمليات الصيانة الوقائية والتي تؤدي لعدم اكتشاف أية مشاكل بالنظام وتلافيها في الوقت المناسب ولا توجد تقارير بعمليات الصيانة التي تتم مما يضعف الرقابة على أداء النظام.
وأشار إلى أن الخدمة المدنية لم تعد كلمة المرور والتي يتطلبها دليل سياسات وإجراءات وأمن المعلومات، فلم يتم تحديد طول كلمة المرور ولا درجة التعقيد لكلمة المرور بحيث تتضمن أرقاماً وأحرف كبيرة وصغيرة ورموزاً خاصة ولم يتم تحديد فترة انتهاء كلمة المرور.
وأكد ضعف إمكانات الدخول للنظام من خلال بوابة الديوان والتي لا تستدعي استخدام كلمات مرور معقدة وضعف الكلمة يؤدي لاختراق النظام، كما إن العديد من عمليات نقل الملفات والبيانات في الأنظمة بين ديوان الخدمة المدنية والجهات الحكومية الأخرى تتم باستخدام بروتوكولات غير مشفرة يمكن اعتراضها بسهولة والاطلاع على المعلومات المنقولة وتسريبها.
وأشار إلى انعدام سياسة معتمدة في ديوان الخدمة المدنية لإدارة عملية اختبار وتحميل ونسخ النظام المحدثة والتي يصدرها المورد حيث لوحظ أن الديوان يقوم بذلك عند إخطاره من قبل المورد بوجود نسخة محدثة. وأوضح التقرير أن بيئة الإنتاج لا تتضمن آليات لضمان استمرارية العمل في حالات الطوارئ كالتحول من بيئة الإنتاج إلى خادم النسخ الاحتياطية، كما إنه لم يتم تنفيذ اختبار التعافي من الكوارث لتقييم جاهزية الموقع ومدى ملاءمته مع النظام لمتطلبات العمل في حالات الطوارئ.
وأضاف لا تطابق في بعض المصطلحات والتسميات بالقوائم والمسؤوليات داخل النظام، كما إن بعض المسميات في قاعدة البيانات والتي لا تعكس الغرض الحقيقي ومنها حقل الفاكس لإدخال الرقم الشخصي للموظف الأمر الذي يؤدي لحدوث التباس عند استخدام البرنامج.
وأكد أن الخدمة المدنية لم تحتفظ ببعض المستندات المهمة ومنها التقرير الشهري والذي يتضمن كافة الأنشطة وتقارير سير عمل المشاريع التي يتم تنفيذها من قبل إدارة نظم المعلومات، وسجل الحوادث وحالات توقف النظام عن العمل، إضافة لعدم الاحتفاظ بجداول مفصلة بمواعيد نسخ الاحتياطي للبيانات وتقارير استعادة البيانات من أشرطة النسخ مما قد يسبب تأخير نسخ البيانات أو عدم القدرة على استعادة جميع البيانات المطلوبة عند الحاجة.
وقال تقرير ديوان الرقابة المالية والإدارية إن الخدمة المدنية لم توقع على اتفاقيات مستوى الخدمة للموردين الذين يتم التعامل معهم وهما شركتا «أوراكل» و»إي بي إم» والذي قد يؤدي لعدم وجود رقابة كافية وقدرة على تقييم أداء الموردين، كما إنها لم توقع على اتفاقية عدم الإفصاح مع الموردين حيث يتم الاكتفاء بإدراج بند حول السرية في العقد والذي لا يحدد نوع البيانات السرية واستخداماتها وأي استثناءات لذلك ولم يبين البند قيود نقل البيانات لطرف آخر والالتزامات المترتبة تجاه المستلم لتلك البيانات بما لا يضمن وجود حماية كافية وضمان سرية المعلومات والبيانات بالنظام.
970x90
970x90
