AU - Amro, Islam. AB - This paper addresses risk assessment in organizations lacking benchmarking and risk assessment references. We started with a strategic conceptualization of information technology services that an organization depends on, these services were seen as network services that are redistributed into basic service elements; these service elements are expressed in terms of hosts running these services and their interconnections. Eventually; we were able to express strategic services’ vulnerabilities in terms of host vulnerabilities. Closing this gap led us to construct a risk reference for the organizational strategic services. Using relevant information about these vulnerabilities we were able to introduce a risk probability model, a risk impact model and a risk weighting approach using Borda Count. We followed a step-by-step approach to build the risk with a holistic view. We implemented the suggested model on Al-Quds Open University’s (QOU) IT infrastructure as a case study and we were able to derive the strategic services’ risks and the overall organizational IT risk. (Published abstract) http://search.shamaa.org/abstract_en.gif AB - تهدف الدراسة الى تقويم مخاطر أنظمة المعلومات المحوسبة في مؤسسات لا تحتوي على أسس مرجعية لتقويم المخاطر. تبدأ الدراسة بتحديد الإطار المفاهيمي للخدمات التي تقدمها المؤسسة، يؤدي هذا الاطار دور البديل للأسس المرجعية التي يعتمد عليها تقويم المخاطر في أية مؤسسة، ونظرا لعدم وجود هذه الاستراتيجية في كثير من الأحيان تبرز مشكلة تقويم المخاطر. ومن هنا يعمل هذا البحث على إيجاد مقاربة لاحتساب هذه المخاطر بالاعتماد على طبيعة الخدمات المقدمة بالشبكة في حال عدم وجود استراتيجية وأمن المعلومات ،حيث يتم ذلك من خلال ربطها باطار مفاهيمي ناتج عن طبيعة الخدمات التي تقدمها المؤسسة. وتحدد هذه الخدمات ضمن مجموعات عمل رئيسة مثل خدمات أكاديمية أو خدمات بحثية، يتم تصنيف مجموعات العمل الرئيسة تحت عنوان: خدمات الشبكة، ومن ثم نأخذ كل خدمة على حدة، ونقوم بتحديد الأجهزة والخوادم المتطلعة بتقديم هذه الخدمة، وفي حال معرفة قيمة الضعف الأمني على كل جهاز نستطيع تحديد الضعف الأمني لجميع الخدمات المقدمة على الشبكة وفق آلية محددة. وفي حال معرفة قيمة الضعف الأمني للشبكة ككل نستطيع احتساب المخاطر على المستوى العام، وتحديد قراءة تمثل نسبة المخاطرة العامة على الشبكة. هذه القراءة تؤسس لتقديم قيمة للمخاطرة على الشبكة دون وجود وثيقة استراتيجية أمنية، وفي إطار منهج البحث وعلى مستوى الخدمات المقدمة، قمنا ببناء نموذج احتمالي لحدوث المخاطر، إضافة إلى نموذج يحدد تأثير المخاطر في حال حدوثها. كما قمنا بتحديد أوزان المخاطر باستخدام عداد (بوردا) مع تحديد آلية رياضية لتقدير المخاطر الكلية. يتناول البحث آلية محددة خطوة بخطوة لبناء منظومة مخاطر متكاملة . وقد استخدمت شبكة جامعة القدس المفتوحة كبيئة لاختبار المقاربة، مع الأخذ بعين الاعتبار أن هذه الشبكة المذكورة شبكة أكاديمية تعليمية. وبذلك يكون البحث قدم آلية مفصلة حول احتساب المخاطر للشبكات المشابهة من حيث طبيعة الخدمات المقدمة ، وهي الخدمات التعليمية. (الملخص المنشور) http://search.shamaa.org/abstract_ar.gif ID - 24513 OP - pp. 9-21 T1 - A network service-based risk assessment model with case study on an educational organization [Article] UL - 1 http://search.shamaa.org/fulltext.gif http://search.shamaa.org/PDF/Articles/PSMftm/9MftmVol5No9Y2014/mftm_2015-v5-n9_009-021_eng.pdf Full text (PDF)