نظام إدارة أمن المعلومات- آيزو 27001

نظام إدارة أمن المعلومات- آيزو 27001

أكثر الأصول أهمية بالنسبة لمعظم المنظمات اليوم هي البيانات، وبما أننا ندرك أهمية المحافظة على البيانات فإننا نقدم خدمة تطبيق معيار (ISO/IEC27001:2013)

لضمان الحصول على نظام شامل لحماية البيانات من التهديدات المختلفة، إن حماية البيانات الحساسة الخاصة بالمنظمة ليست هي الميزة الوحيدة التي يقدمها نظام إدارة أمن المعلومات، ولكنه أيضاً يحمي سمعة المنظمة بالحصول على اعتماد دولي يزيد من ثقة العملاء وأصحاب المصلحة في المنظمة مما يرفع المستوى التنافسي محليا وعالميا.

كيف ابدا في تطبيق نظام إدارة امن المعلومات

  1. إعداد خطة لإيضاح الوقت المطلوب للتنفيذ، والجودة التي سيحققها المعيار.
  2. إجراء تحليل فجوة (gap analysis) لتوضيح نقاط الضعف، وعمل تقرير يعطي فكرة جيدة عما يمكن عمله للتحسين.
  3. توثيق تحليل المَخاطر.
  4. تحديد نطاق عمل المعيار، والسياسات، والإجراءات.
  5. تحديد الأدوار والمسؤوليات.
  6. توفير تدريب مناسب للموظفين وأصحاب المصلحة.
  7. إعداد الموظفين لاجتياز التدقيق الداخلي والخارجي.
  8. الحصول على الاعتماد الدولي.
خطوات-تطبيق-نظام-إدارة-أمن-المعلومات-ISO-27001

معلومات عن نظام ادارة امن المعلومات( ايزو 27001)

يعتبر معيار (ISO/IEC 27001:2013) المعيار الدولي الذي يوضح كيفية وضع نظام إدارة أمن المعلومات بشكل معتمد وتطبيقه والحفاظ عليه وتحسينه باستمرار، ضمن أطر عملية مما يسمح بالحفاظ على البيانات الحساسة والسرية بشكل آمن والتقليل من احتمال الوصول إليها بشكلٍ غير قانوني أو بدون إذن كما يسمح بإدارة المخاطر الأمنية واسترداد المعلومات وتقليل الخروقات الأمنية.

والتأكد من وجود نظام أمن معلومات يؤدي المهام بكفاءة ويتابع مستويات الحماية الخاصة بالمنظمة من خلال :

  1. إدارة الأعطال الأمنية.
  2. حماية أصول المنظمة.
  3. السماح بتبادل آمن للمعلومات.
  4. الحفاظ على سلامة المعلومات السرية
  5. تقديم الخدمات بشكل ثابت ومستقر.
  6. تزويد المؤسسة بخاصية تنافسية.
يساعد-معيار ISO27001 على رفع الحماية

نسخة الإصدار

ولمواكبة أحدث التطورات سيتم العمل على النسخة الاحدث لمعيار:

( ISO/IEC27001 )وهي نسخة (2013). علما ان الإصدار الأول من المعيار كان بنسخة(2005)

وتحتوي النسخة الأخيرة على تغييرات كثيرة أهمها:

  1. زيادة التركيز على إدارة المخاطر

كنقطة أساسية ، يشير معيار( ISO 27001: 2013) إلى طريقة جديدة للقيام بتحليل قابلية تطبيق الضوابط بناءً على تحليل المخاطر.

  1. اختيار منهجيات أكثر مرونة اثناء تحليل المخاطر

يحتل تحديد الأصول المرتبة الخلفية في تحليل المخاطر ، لذا فإن المعيار يشير فقط إلى الحاجة إلى “تحديد المخاطر” التي تؤثر على أمن المعلومات في أي من أبعادها (السرية ، والسلامة ، وتوافر المعلومات)

وبهذا المعنى ، فإنه يترك الباب مفتوحًا أمام إمكانية استخدام خيارات أخرى لتحليل المخاطر باتباع توصيات معيار (ISO 31000) بشأن إدارة المخاطر.

  1. تحديد عناصر التحكم في الأمان

يمكن أن يتم اختيار الضوابط في المرحلة الأولى عن طريق اختيار الضوابط التي تعتبر مناسبة لنوع النشاط دون مراعاة إطار مرجعي محدد مثل تلك المدرجة في الملحق أ

  • يسمح باستخدام أنظمة التحسين المستمر بخلاف دورة (PDCA).
  • يقدم الهيكل الجديد عالي المستوى وفقًا لـ Annex SL ، مما يسهل التكامل مع معايير الايزو الأخرى.
  1. مراجعة المتطلبات وتعديل بعض الضوابط في الإصدار الجديد:
  • أصول المعلومات

يتم استبدال مصطلح “الأصول المرتبطة بالمعلومات” بعبارة “المعلومات والأصول الأخرى المرتبطة بالمعلومات”

هذا لتحديد أن موضوع جرد الأصول هو المعلومات والأصول المرتبطة بها .

  • استبعاد البند 6.1.3 مسؤولية استخدام أصول المعلومات في جميع مراحل سلسلة التوريد.
  • حذف البند 1.3 الاستخدام المقبول للأصول إرشادات التنفيذ.
التغييرات-التي-حدثت-لمعيار-ISO27001-بعد-تعديله-عام-2013

إن اعتماد نظام الأيزو سواء للحصول على الشهادة أو تطبيقه في المنظمة كأفضل ممارسة سيعود على المنظمة بالفوائد التالية:

  1. إدارة وتقليل تأثير المخاطر المتعلقة بالأصول المعلوماتية من خلال تصميم أفضل الضوابط الأمنية الداخلية وأكثرها ومناسبة لبيئة الأعمال.
  2. حماية المنظمة وحماية اصول المستفيدين والموردين.
  3. المحافظة على أمن المعلومات السرية.
  4. ضمان استمرارية الأعمال بشكل أمن في حالات الأزمات.
  5. تزويد العملاء وأصحاب المصالح بالثقة في كيفية إدارة المخاطر المرتبطة بالأصول المعلوماتية.
فوائد-اعتماد-نظام-إدارة-أمن-المعلومات-ISO27001

منهجية تطبيق نظام إدارة أمن المعلومات

  1. تحليل الثغرات( Gap Analysis )

ستشير هذه المرحلة إلى نقاط الضعف في مجالات ومتطلبات (ISO 27001:2013)

والتي ستوفر للمنظمة   المؤشرات والتوجيهات بشأن المجالات التي تحتاج إلى مزيد من التركيز والاهتمام.

ستوفر هذه المهمة صورة واضحة للحالة الحالية وتحليل نضج الإدارة بالنسبة للمواصفة العالمية .

كما ستساعد الإدارة العليا على :

  • تحديد خارطة الطريق والإجراءات المطلوبة والبت فيها لتحقيق مرونة المنظمة الشاملة ونهج خطة التنفيذ.
  • إعادة تصميم الجهد (إذا وحيثما لزم الأمر) ، في ضمان توجيه الميزانيات المخصصة ودعم احتياجات العمل المناسبة .

يتم إجراء التحليل عبر:

  • مقابلات الموظفين وورش العمل (مع موظفي الإدارة )
  • مراجعة الوثائق والسجلات الحالية
  1. إدارة مخاطر تقنية المعلومات

تحديث/تطوير منهجيه أداره مخاطر تقنية المعلومات والذي يتضمن عمليتين رئيسيتين

عمليات تقييم المخاطر.

ومعالجه المخاطر/التخفيف من حدتها.

وتهدف عمليه تقييم المخاطر إلى ايجاد المخاطر وتحديد مدى التأثير المحتمل على أمن الأصول وتحديد احتمال حدوثها والأثر الناتج عنها. ويساعد ناتج هذه العملية على تحديد الضوابط المناسبة للحد من المخاطر أو القضاء عليها اثناء عمليه معالجه المخاطر/التخفيف من حدتها.

  • عملية تقييم الخاطر تتكون من 4 خطوات رئيسية :

الخطوة الأولى : تحديد الأصول وتصنيفها

والغرض من هذه الخطوة هو تحديد وتصنيف الأصول/الخدمات ضمن النطاق عن طريق جمع المعلومات البنية التحتية   لضمان التقييم الشامل والفعال للأصول .

يتم تطوير سجل الأصول/الخدمات الذي يحتوي على الأصول/الخدمات ضمن نطاق الإدارة المذكورة ومكوناتها ، مثل الأصناف التالية :

  1. أصول الأجهزة.
  2. أصول البرمجيات.
  3. العمليات التجارية.
  4. الموظفين والمتقاعدين .

الخطوة الثانية : تقييم الأصول/الخدمات

والغرض من هذه الخطوة هو تحديد قيم الأصول وأهميتها مع مراعاة المتطلبات القانونية المحددة فضلا عن التأثيرات على الاعمال التجارية ، والناجمة عن فقدان السرية (Confidentiality)،والثبات (Integrity) والتوافر (Availability).

الخطوة الثالثة : تحديد التهديدات ونقاط الضعف

والغرض من هذه الخطوة هو تحديد التهديدات وأوجه الضعف التي تؤثر على الأصول/الخدمات في نطاق الإطار المتفق عليه.

الخطوة الرابعة : حساب/قياس قيمة المخاطر

والغرض من هذه الخطوة هو قياس مستوي المخاطر التي تتعرض لها كل من الأصول/الخدمات ، يتم تحديد الضوابط المناسبة واختيارها للمخاطر غير المقبولة ، استنادا إلى منهجيه أداره مخاطر تقنية المعلومات.

–  معالجه المخاطر

عمليه معالجه المخاطر التخفيف من حدتها تحدد الضوابط الأمنية ، وتعمل على تقليل المخاطر إلى مستوى مقبول بعد النظر في خطه العلاج/التخفيف.

تشمل معالجه المخاطر/التخفيف منها تحديد أولويات الضوابط المناسبة وتقييمها وتنفيذها استنادا إلى عمليه تقييم المخاطر.  من خلال:

  • التخفيف من المخاطر: للحد من احتمال أو تأثير المخاطر من خلال تطبيق ضوابط أمن المعلومات.
  • نقل المخاطر: لتمرير المخاطر إلى أطراف أخرى مثل التغطية التأمينية
  • تجنب المخاطر: عدم المضي قدما في اي نشاط من المرجح ان يؤدي إلى المخاطرة.
  • قبول المخاطر: يتحمل المخاطر.
  1. متطلبات نظام إدارة أمن المعلومات

سيتم استعراض/تطوير الوثائق المطلوبة لهذا الغرض:

الأدوار والمسؤوليات: الأدوار والمسؤوليات مهمة للمساعدة في إنشاء، وتطوير نطام إدارة أمن المعلومات ، تطوير نظام إدارة أمن المعلومات عن طريق إسناد الأدوار والمسؤوليات وإنشاء اللجنة التوجيهية للأمن المعلوماتي التي ستوجه فريق الأمن خلال مرحله التنفيذ.

  1. انشاء  سياسات وإجراءات أمن المعلومات

ان وضع سياسات وإجراءات أمن المعلومات ، ، هو أمر هام جدا نحو نجاح تنفيذ نظام إدارة أمن المعلومات.

ويجب ان تشمل السياسات مجالات مختلفة مثل:

  • سياسة الاستخدام المقبول.
  • سياسة التحكم في الوصول.
  • سياسة إدارة الأصول.
  • سياسة استمرارية الأعمال.
  • سياسة أمن الاتصالات.
  • سياسة الالتزام.
  • سياسة التشفير.
  • سياسة أمن الموارد البشرية.
  • سياسات أمن المعلومات.
  • سياسة إدارة حوادث أمن المعلومات.
  • سياسة أمن العمليات.
  • سياسة الامن المادي والبيئي.
  • سياسة العلاقات مع الموردين.
  • سياسة حيازة وتطوير وصيانة أنظمة المعلومات.

 إجراءات أمن المعلومات:

  • إجراءات إدارة الأصول.
  • إجراءات إدارة المخاطر .
  • إجراءات إدارة التغيير.
  • إجراءات إدارة حوادث أمن المعلومات .
  • إجراءات النسخ الاحتياطي والاستعادة.
  • إجراءات إدارة وصول المستخدم.
  • إجراءات المراجعة الإداري.
  • إجراءات مراقبه المستندات والسجلات.
  • إجراءات أمن الموظفين.
  1. التوعية (نقل المعرفة)

ستعقد ريناد المجد جلسات توعوية .

والغرض منها هي:

  • تثقيف الإدارة والموظفين بشأن المبادئ الأمنية الأساسية.
  • استرعاء الانتباه إلى قضايا أمن المعلومات وزيادة فهمهم لأوجه الضعف والتهديدات التي تؤثر على أمن نظم المعلومات والمعلومات في المنظمة.
  1. التدقيق الداخلي

تجهيز المنظمة ودراسة استعدادها للبدء في عمليه الاعتماد من خلال:

اعداد خطة التدقيق الداخلي

  • اجراء تدقيق داخلي
  • نقل المعرفة الى موظفين الإدارة وتدريبهم على التدقيق الداخلي
  • اعداد خطه العمل التصحيحية (CAP) للتخفيف من نتائج التدقيق الداخلي وسد الثغرات المحددة. خطة العمل التصحيحية ستصف بشكل واضح النشاط والمالك والجداول الزمنية لتنفيذ خطه العمل.  وكحد ادني ، ستشمل:
  • وصف واضح لنقاط الضعف.
  • خطه عمل لحل هذا النقص.
  1. التدقيق الخارجي

حيث سنقوم بالتعاقد مع احدى شركات المنح المعتمدة لمنح شهادة (ISO/IEC27001:2013) لمدة ثلاث سنوات

منهجية-تطبيق-ISO-27001

مكونات نظام إدارة امن المعلومات (ISMS) حسب متطلبات المواصفة العالمية (ISO/IEC 27001:2013)

1-  مجال التطبيق(ISMS)

في هذا البند يعطينا المعيار بعض المؤشرات على قابلية تطبيق معيار( ISO 27001) وكيفية استخدامه.

يمكننا أن نستخلص كأحد الاستنتاجات الرئيسية أن المعيار يمكن تطبيقه على أي نوع من أنواع المنظمات سواء كانت حكومية او خاصة مهما كان حجمها وأن الشركات الصغيرة والمتوسطة الحجم لديها في هذا النظام أدوات تسمح لها بالحفاظ على امان وسرية معلوماتها .

يجعل (ISO 27001) إدارة أمن المعلومات متاحة للجميع من   خلال الشهادات المعتمدة التي توفر للشركات الصغيرة والمتوسطة الحجم تنافسا أكبر مع الشركات الكبرى التي قد يكون لديها إدارات مختصة بالأمن المعلوماتي والسيبراني .

2- المراجع المعيارية:

في هذا الفصل تتم الإشارة إلى معيار( ISO / IEC 27000) حيث يتم تقديم رؤية عامة لأنظمة إدارة أمن المعلومات (ISMS) ، حول منهجية (PDCA) الأساسية لجميع أنظمة الإدارة

دورة( PDCA) للتحسين المستمر ، على الرغم من عدم ذكرها بشكل صريح في الإصدار 27001: 2013 كما هو الحال في الإصدارات السابقة من المعيار ، إلا أنها تشكل الإطار الأساسي الذي تم بناء نظام إدارة (ISMS) عليه.

كاختلاف جوهري مع الإصدار السابق (ISO 27001: 2005) ، لا تنص المراجعة 27001: 2013 لذلك يتم ترك المصطلحات والتعريفات فقط كمرجع معياري. وهذا يعني أن أدلة ضوابط أمن المعلومات الأخرى غير تلك المقترحة في الملحق يمكن أن تؤخذ في إشارة واضحة لتكييف تنفيذ المعيار مع جميع أنواع المنظمات.

3- المصطلحات والتعاريف:

من أجل الحصول على دليل واحد من المصطلحات والتعريفات المتسقة ، في إطار( ISO 27001 ) يتم وضع تعريفات للمفردات الأساسية التي تشير إلى أمان المعلومات التي سيتم استخدامها لاحقًا في متطلبات المعيار.

في الإصدار الحالي من معيار (ISO 27001: 2013) ، تمت الإشارة إلى المصطلحات والتعريفات في القسم 3 “الأساسيات والمفردات” من معيار( ISO 27001: 2013 ).

4- سياق المنظمة:

تعتبر معرفة المنظمة وسياقها مطلبًا للبدء من أجل إنشاء نقطة مرجعية في تطبيق نظام إدارة أمن المعلومات،

من خلال وضع أهداف لأمن المعلومات مع مراعاة أهداف العمل في المنظمة .

ويجب ان تستند معرفة المنظمة إلى تعريف كل القضايا الخارجية والداخلية فيما يتعلق بأمن المعلومات والتي قد تساعد أو تضر بتحقيق أهداف المنظمة واستراتيجيتها العامة .

5- القيادة

تشير المتطلبات المتعلقة بالقيادة إلى الالتزام الذي يجب على إدارة المنظمة ممارسته في عملية تنفيذ

(ISMS) وفي مراجعة (ISO 27001: 2013) تعتبر المشاركة المستمرة للإدارة في تنفيذ ثقافة سلامة امن المعلومات في جميع إدارات المنظمة او الشركة.

من خلال التحقق بمساهمة كل من الموارد البشرية والمادية لتحقيق أهداف أمن المعلومات

بالإضافة إلى ذلك ، ضمن مسؤوليات الإدارة العليا :

  • تطوير سياسة أمنية وتحديد أهداف أمن المعلومات.
  • إيصال الأهداف إلى المنظمة بأكملها من أجل إشراك جميع الموظفين في أهداف أمن المعلومات وتحديد مجالات المسؤولية والأدوار المقابلة لأمن المعلومات.
  •  مراقبة فرص التحسين في مجالات أمن المعلومات من أجل تعزيز وتحقيق التحسين المستمر.

6- التخطيط:

بمجرد تحديد احتياجات وتوقعات الأطراف المهتمة كما هو موضح في البند الرابع من المواصفة  (سياق المنظمة )، يجب علينا وضع خطة لتحديد المخاطر التي يجب أن نتعامل معها والأنشطة التي يجب القيام بها للتخفيف من المخاطر المذكورة أو تجنبها.

مكونات التخطيط :

  • تحديد احتياجات وتوقعات الأطراف المعنية.
  • تحليل المخاطر والفرص:
    • تحديد منهجية تحليل المخاطر.
    • تحديد أصول المعلومات في المنظمة .
    • تحليل المخاطر (تحديد التهديدات ونقاط الضعف في أمن المعلومات).
  • تقييم المخاطر (تحليل الأثر أو حساب المخاطر).
  • خطة معالجة المخاطر
    • معايير تخصيص المخاطر والعلاج.
    • اختيار التحكم.
    • بيان قابلية التطبيق (الضوابط المطلوبة وغير القابلة للتطبيق).
    • خطة إدارة المخاطر.

7-  الدعم :

في هذا القسم ينص المعيار على تحديد الموارد اللازمة لتنفيذ الخطط التي وضعها في البند السادس التخطيط ، مع الأخذ في الاعتبار دائمًا التزام الإدارة بتوفير الموارد اللازمة.

من خلال:

  • إدارة الموارد.
  • كفاءة الموظفين ووعيهم.
  • التواصل والوعي لجميع أصحاب المصلحة ، بما في ذلك مقدمي الخدمات الخارجيين والموردين.
  • متطلبات التوثيق كدليل على الامتثال لمتطلبات المعيار(ISO/IEC27001).

8- العمليات :

البند الذي يحتوي على إجراءات أمن المعلومات التي تم تحديدها في البنود السابقة على وجه التحديد

  • – سياق المنظمة (تحديد مصالح الأطراف)
  • التخطيط (خطة معالجة المخاطر)

في هذا البند سيتم توجيه المتطلبات إلى المراقبة والإشراف على خطط معالجة المخاطر ودمجها في العمليات.

9- تقييم الأداء:

كجزء أساسي من أي نظام إدارة ، يجب علينا تقييم أداء الإجراءات المتخذة.

من خلال :

  • عمليات تدقيق أمن المعلومات الداخلية.
  • عملية مراجعة الإدارة.
  • وضع مؤشرات أداء قياسية(Key Performance Indicators) لكل إجراءات امن المعلومات .

10- التحسين:

 تحسين نظام إدارة أمن المعلومات من خلال التحديث المستمر لنظام الإدارة

ويشمل المراجعة الدائمة لإيجاد فرص لتحسين الأداء من خلال

معالجة حالات عدم المطابقة التي تم اكتشافها في التدقيق الداخلي ومراجعة الإدارة والتدقيق الخارجي من جهة المنح المعتمدة .