وفقًا لأدلة التدريب على ITIL عبر الإنترنت، هناك العديد من العمليات التي تحدد مرحلة تشغيل خدمة ITIL من دورة حياة ITIL: إدارة الأحداث، وإدارة الحوادث، وإدارة الحوادث، وتلبية الطلبات، وإدارة المشاكل، وأخيراً، وهو محور تركيز هذا المنشور إدارة الوصول. تهدف عملية إدارة الوصول في ITIL إلى منح المستخدمين المصرح لهم الحق في استخدام الخدمة مع منع وصول المستخدمين غير المصرح لهم. وكما هو مطلوب في اختبار ITIL، تعتبر هذه العملية بالغة الأهمية لأنها تضمن بقاء بيانات الشركة آمنة وأن الموظفين الذين تعتبر البيانات ضرورية للقيام بعملهم هم فقط من يمكنهم الوصول إلى البيانات. وهذا يحمي الملكية الفكرية للشركة. دعنا نلقي نظرة فاحصة على إدارة الوصول.
الهدفان
الهدف الرئيسي لعملية إدارة الوصول هو تزويد المستخدمين بالحقوق التي تمكنهم من استخدام خدمة أو مجموعة من الخدمات. هناك العديد من الخدمات والأصول وعناصر التكوين في مزود خدمة تكنولوجيا المعلومات. ويجب أن يتم توفير كل خدمة أو عنصر تكوين فقط للأشخاص أو المجموعات الذين لديهم حقوق استخدامها. على سبيل المثال، لنفترض أنه يتم استخدام خدمة لإدراج تفاصيل الراتب وحزمة التعويضات الخاصة بأحد الموظفين في الشركة. هل يجب أن يكون جميع الموظفين قادرين على استخدام هذه الخدمة؟ بالطبع لا. يجب أن تُمنح هذه الخدمة فقط لاستخدام موظفي الموارد البشرية المسؤولين. وبالمثل، فكر في خدمة أخرى تقوم بتحويل الأموال بين أقسام الشركة أو إلى الموردين. يجب منح هذه الخدمة لاستخدام موظفي قسم الشؤون المالية فقط.
الهدف الثاني من عملية إدارة الوصول إلى تكنولوجيا المعلومات ITIL هو تنفيذ السياسات والأنشطة التي تم تحديدها في إدارة الأمن والتوافر هو أيضاً هدف من أهداف عملية إدارة الوصول. نظرًا لأن عملية إدارة الوصول تهدف إلى توفير الخدمات لاستخدام الأشخاص أو المجموعات المناسبة، فإن سياسات وأنشطة إدارة الأمن والإتاحة هي جزء من أهداف إدارة الوصول أيضًا. حماية البيانات والسماح بإتاحة البيانات أو الخدمات فقط للأشخاص أو المجموعات المسؤولة هي مسؤولية إدارة الأمن. وبما أن إدارة الوصول تمنح الحقوق للأشخاص أو المجموعات التي ستستخدم الخدمات، فإن عملية إدارة الوصول تتعاون مع عملية إدارة الأمن والإتاحة عند تحديد السياسات والأنشطة.
السياسات والمبادئ والمفاهيم الأساسية
يتم تحديد خدمات موفر خدمات تكنولوجيا المعلومات في كتالوج الخدمات. التفاصيل المتعلقة بهذه الخدمات هي الوصول والهوية والحقوق والخدمة أو مجموعات الخدمات وخدمات الدليل. لنلقِ نظرة على ما تنطوي عليه تفاصيل إدارة الوصول هذه.
مصطلح إدارة الوصول: الوصول
يشير الوصول إلى مستوى ونطاق وظيفة الخدمة أو البيانات التي يُصرح للمستخدم باستخدامها. على سبيل المثال، لقد قدمنا مثالاً على خدمة تسرد تفاصيل الراتب وحزمة التعويضات الخاصة بموظف في مزود خدمة تكنولوجيا المعلومات. لا يمكن الوصول إلى هذه الخدمة إلا من قبل موظفي الموارد البشرية المسؤولين فقط ويقتصر الوصول إليها على الموظفين الآخرين في المؤسسة.
إدارة الوصول Tern: الهوية
تشير الهوية إلى المعلومات التي تميز الفرد والتي تتحقق من وضعه داخل المؤسسة. تساعد هوية المستخدم على استخدام الخدمات أو الأصول أو عناصر التكوين الخاصة بمزود خدمة تكنولوجيا المعلومات. يقوم المستخدمون بتسجيل الدخول إلى النظام والتحقق من خدمات موفر خدمات تكنولوجيا المعلومات واستخدامها بهوية. وبحكم التعريف، تكون هوية المستخدم فريدة لهذا المستخدم. يستخدم مقدمو خدمات تكنولوجيا المعلومات المختلفون اصطلاحات هوية مختلفة. يمكن أن تكون الاسم واللقب، أو البريد الإلكتروني لموظف المستخدم، أو هوية المستخدم أو رقم الضمان الاجتماعي للمستخدم. هذه أمثلة للهويات الفريدة التي يستخدمها مزود خدمة تكنولوجيا المعلومات. (اضغط هنا)
مصطلح إدارة الوصول: الحقوق
تشير الحقوق إلى الإعدادات الحالية، حيث يحصل المستخدم على حق الوصول إلى خدمة أو مجموعة من الخدمات. على سبيل المثال، حقوق القراءة والكتابة والتنفيذ وما إلى ذلك. إذا كان سيتم عرض خدمة أو عنصر تكوين، يتم توفير حق القراءة لمجموعة ذات صلة. إذا كان سيتم تحديث خدمة أو عنصر تكوين، يتم توفير حق الكتابة للمجموعة ذات الصلة. إذا كان سيتم تشغيل خدمة أو عنصر تكوين، على سبيل المثال، برنامج نصي، يتم توفير حق التنفيذ للمجموعة ذات الصلة.
مصطلح إدارة الوصول: الخدمة أو مجموعات الخدمات
من الأكثر فعالية توفير حق الوصول إلى مجموعة كاملة من الخدمات. ستكون هناك خدمات متعلقة بقسم الموارد البشرية، وخدمات متعلقة بقسم الشؤون المالية، وخدمات قسم المبيعات وما إلى ذلك في المؤسسة. أو يمكن أن يعتمد هذا التجميع على الوظائف. على سبيل المثال، الخدمات المتعلقة بسحب الأموال في أحد البنوك، أو الخدمات المتعلقة بتحديث الرصيد في مشغل اتصالات وما إلى ذلك. نظرًا لأن هذه المجموعة من الخدمات ذات مغزى وتستخدم معًا، فإن توفير الوصول إلى هذه الخدمة أو مجموعات الخدمات هذه يكون أكثر كفاءة.
مصطلح إدارة الوصول: خدمات الدليل
تشير خدمات الدليل إلى أنواع محددة من الأدوات المستخدمة لإدارة الوصول والحقوق. على سبيل المثال، يتم تجميع قسم تكنولوجيا المعلومات وقسم الموارد البشرية وقسم المبيعات وما إلى ذلك في خدمات الدليل، وعندما ينضم مستخدم جديد إلى الشركة، يتم تعيين المستخدم إلى إحدى المجموعات المحددة في خدمات الدليل. بعد ذلك، يتم منح جميع التطبيقات ذات الصلة والوصول والحقوق للمستخدم تلقائياً.
إدارة الوصول هي عملية رئيسية في مرحلة تشغيل خدمة ITIL من دورة حياة خدمة ITIL. هذه المرحلة المخصصة للتأكد من أن المستخدمين يمكنهم الوصول إلى الخدمات واستخدامها للأسباب المقصودة. تضمن إدارة الوصول حماية أي معلومات حساسة من المستخدمين غير المصرح لهم. وهذا يحمي الملكية الفكرية للأعمال. كما أنه يحمي الشركة من استخدام المستخدمين لخدماتها دون دفع ثمنها. لذلك، فإن إدارة الوصول بمثابة عملية حارس البوابة في مرحلة تشغيل خدمات ITIL.
الهدفان الرئيسيان لإدارة الوصول
About the Author
