معيار ISO 27017 - ضوابط أمن المعلومات المتعلقة بالخدمات السحابية

في وقتنا الحالي، تستخدم معظم المنظَّمات تقنيات الحوسة السحابية لكي تزيد من سرعة ودقة عملياتها، وتدعم استمرارية الأعمال وإمكانية التوسّع مستقبلًا، ولكنَّها بالمقابل تجعلها أكثر عرضةً لتهديدات فقدان المعلومات بشكل غير مشروع.

فالحلول السحابية ليست مجرد تقنية تستطيع ادخالها لمنظّمتك بقرار سهل، بل تعتبر تحدّي استراتيجي للمنظمات على حد سواء. وقد أدّى زيادة اهتمام العملاء بأمن السحابة قبل شراء الخدمة إلى ازدياد اهتمام مقدمي الخدمات السحابة بتطبيق أفضل الممارسات الأمنية.

إذًا، كيف يمكنك الاستمرار بتقديم الخدمات السحابية مع الحفاظ على ثقة العملاء بقدرتك على تأمين وحماية بياناتهم؟ هنا يأتي دور معيار ISO 27017.

ما هو ISO 27017؟

الآيزو /آي إي سي 27017 هو معيار أمني تم تطويره من قبل المنظمة الدولية للتقييس (ISO) واللجنة الكهروتقنية الدولية (IEC) عام 2015 لمقدمي الخدمات السحابية ومستخدمينها بهدف تعزيز أمان الحلول السحابية وتقليل مخاطرها على المنظمات. وهو جزء من مجموعة معايير الأمن ISO / IEC 27000 والتي تقدم إرشادات لأفضل الممارسات بشأن إدارة أمن معلومات.

ISO 27017 هي مجموعة ممارسات وإرشادات تهدف لمساعدة عملاء ومُقدمي الخدمات السحابية على التشغيل الآمن والفعّال لخدمات السحابة؛ لكي تُبقيهم وبياناتهم وبيانات العملاء آمنة من التهديدات السيبرانية.

طُوّر هذا المعيار بناءً على معيار سابق، وهو ISO / IEC 27002، ليُضيف ضوابط أمنية تتعلق بالسحابة لم تُذكَر في المعيار السابق.

وتوضح مواصفة الآيزو /آي إي سي 27017 أدوار ومسؤوليات كل من مقدمي الخدمات السحابية والعملاء للمساعدة في جعل الخدمات السحابية آمنة.

يشمل المعيار 37 ضوابط من مواصفة ISO/IEC 27002 و7 ضوابط حصرية تتناول ما يلي:

  • الأدوار والمسؤوليات في بيئة الحوسبة السحابية
  • سياسات نقل واسترجاع معلومات العملاء عند إنهاء العقد المُبرَم
  • حماية مساحة الحوسبة وفصلها عن بيئات العملاء الآخرين
  • متطلبات لتلبية احتياجات الأعمال التجارية
  • الإجراءات والعمليات الإدارية المرتبطة ببيئة الحوسبة السحابية
  • تمكين الزبائن من رصد الأنشطة داخل بيئة الحوسبة السحابية
  • مواءمة إدارة الأمن الافتراضية والمادية
فوائد معيار ISO/IEC 27017
  1. زيادة ثقة العملاء وأصحاب المصلحة واكتساب ميزة تنافسية: من المهم أن تُشعر عملائك أن منظّمتك تعمل بشكل استباقي لإصلاح جميع نقاط في قسم تقنية المعلومات لضمان أمان بياناتهم. هذا شيء يُمكّنك من التفوق على منافسيك ويمنحك ميزة تنافسية.
  2. وضع استراتيجية طويلة الأجل للإستثمار: من خلال الالتزام بالمبادئ التوجيهية للآيزو 27017، فإنّك تُقلّل من مخاطر الضرر بالعلامة التجارية. وهذا من شأنه أن يشجع المستثمرين المحتملين على النظر إليكم كشريك على قدر كافٍ من المسؤولية.
  3. تقليل مخاطر الضرر بالعلامة التجارية
  4. الامتثال للتشريعات التنظيمية الوطنية والدولية، مما يُقلّل من خطر فرض غرامات وعقوبات تنظيمية تتعلق بخصوصية المعلومات.
  5. ضمان تحديد وتقييم وإدارة مخاطر الخدمات السحابية بشكل فعَّال واستبافي.
  6. تحديد المسؤوليات والأدوار الأمنية التي تقع على كل من مقدمي الخدمات السحابية والعملاء.
  7. ستكون مؤهلاً للعمل في مشاريع كبيرة من خلال تلبية متطلبات المناقصات والعطاءات.
  8. يضمن تطبيق نظام ISO 27017 تحسين حلول التخزين السحابي الذي تستخدمه مؤسستك من حيث إعدادات الأمان وبروتوكولات الحماية لضمان استخدامك لنظام آمن.
ما سبب أهمية ISO/IEC 27017؟

يُعدّ موضوع أمن المعلومات المتعلق بالخدمات السحابية موضوعًا مهمًا ويشغل حيز كبير من عملية اتخاذ قرار اعتمادها في المؤسسات والشركات، فوفقًا لتقرير نشرته منظمة تحالف الأمن السحابي عام 2015، 73% من العاملين في إدارات تقنية المعلومات يعتقدون أنَّ أكبر عقبة أمام مشاريع الحوسبة السحابية هي أمن المعلومات، حيث يريد العملاء التأكّد من سلامة بياناتهم.

ويتيح معيار ISO/IEC 27017 للمنظمة إطار موحد لإرساء نظام الأمن السحابي. وعند استيعاب المتطلبات اللازمة، ستتمكن المنظَّمة من الحد من المخاطر التشغيلية ومخاطر العلامة التجارية وضمان استمرارية الأعمال.

هيكل معيار الآيزو 27017

يضم معيار الآيزو 27017:2015 ثمانية عشر قسمًا، بالإضافة إلى ملحق تشمل:

1. نطاق المعيار

2. المراجع المعيارية

3. التعاريف والاختصارات

4. المفاهيم الخاصة بقطاع الحوسبة السحابية

5. سياسات أمن المعلومات

6. إدارة أمن المعلومات

7. إدارة أمن الموارد البشرية

8. إدارة الأصول

9. صلاحيات الدخول

10. التشفير (Cryptography)

11. الأمن المادي والبيئي

12. أمن العمليات

13. أمن الاتصالات

14. تطبيق نظام إدارة الأمن السحابي وتطويره وتحسينه

15. إدارة علاقات المورّدين

16. إدارة حوادث أمن المعلومات

17. الجوانب المتعلقة بأمن المعلومات في إدارة استمرارية الأعمال

18. الامتثال

خدمات سحابية عالمية تُطبّق معيار الآيزو 27017
كيف يمكن لشركة ريناد المجد لتقنية المعلومات (RMG) مساعدتك:

نحن نُدرك الفروقات بين المُنشآت، ونُؤمن أنَّ الحلول التي تنجح مع مُنشأة ما، قد لا تنجح في مكان آخر؛ لذلك نوفّر باقات متعددة ومميزة من الخدمات الاستشارية المتعلقة بمعيار الآيزو 27017:

  • إجراء تحليل الفجوة للمساعدة في تحديد نقاط القوة والضعف لدى منظّمتك، وتقديم التوصيات المناسبة.
  • تقديم استشارات ISO 27017 – لدينا فريق مكوَّن من +60 استشاري وخبير في مجالات مختلفة لمساعدتك في تنفيذ وتطبيق معيار الآيزو
  • إجراء عمليات التدقيق الداخلية – يمكننا مساعدتك في تخطيط وإجراء عمليات التدقيق الداخلي للتحقق من امتثالك لمعيار ISO تتضمن هذه المرحلة التحقق من أن نظام الإدارة الذي تم إنشاؤه متوافق مع ISO 27017.
  • تصميم وتطبيق الضوابط والسياسات الأمنية: وتشمل هذه المرحلة وضع سياسات قابلة للتطبيق وتقديم الدعم المناسب.
  • يمكننا تقديم الدعم أثناء عمليات التدقيق الخارجية التي تجريها هيئات التصديق.
  • خدمات تأهيل وتوظيف الكوادر الأمنية، وتأسيس أقسام ومكاتب الأمن الإلكتروني.
  • تقديم جلسات توعوية ودورات تدريبية عن الأمن السحابي؛ لنقل المعرفة وتعزيز مهارات الموظفين.
  • تركيب وتشغيل الحلول الأمنية (المادية والإلكترونية).
  • صياغة منهجية مناسبة للاستجابة ووضع نظام للإبلاغ عن الحوادث الأمنية المتعلقة بالخدمات السحابية.
لماذا تختار شركة ريناد المجد لتقنية المعلومات (RMG)؟
  1. عند طلبك لخدمات شركة ريناد المجد (RMG)، تُتاح لك فرصة الاستفادة من +60 استشاري وخبير في مجالات الأمن السيبراني، وتقنية المعلومات، ومعايير الجودة العالمية.
  2. تمتاز الشركة بالمرونة، ودقة التنفيذ، وإظهار النتائج بشكل سريع؛ كونها تُدرك جيدًا الأبعاد العميقة للمحاور والمؤشّرات الواردة في الوثيقة.
  3. لدينا فرق عمل خبيرة في مجالات اختبارات الاختراق وتقييم الثغرات الأمنية، وإجراء تحليل الفجوات.
  4. لدينا خبرة طويلة في قطاعات الأعمال المختلفة، مثل: التجزئة، الرعاية الصحية، الصناعة، التعليم، القطاعات الخدمية.
  5. ولأنَّ الحوادث الأمنية تحتاج ردة فعل سريعة، لدينا مركز دعم يعمل بشكل مستمر (24 /7)؛ لنستطيع تقديم الدعم المناسب في جميع الأوقات دون انقطاع.
  6. عَمَلنا قائم على مبدأ الشفافية أولًا، حيث نُقدّم خطط عمل تفصيلية قبل أن نبدأ بتنفيذ المشروع.
  7. نلتزم –خلال جميع مراحل تنفيذ المشروع– بجميع الأنظمة والقواعد المطبّقة في المملكة فيما يخص السلامة والصحة والبيئة.
  8. لدينا مكتب إدارة مشاريع يقوم بجميع أعمال التنسيق والإشراف على المشروع.

وختامًا، تذكَّر أنه لديك مسؤوليات حقيقية، سواء كنت مُقدّم خدمات سحابية أو مستخدم لها، ويقع ضمن مسؤوليتك الحرص على تطبيق أفضل الممارسات الأمنية للحفاظ على أمان الخدمة السحابية. وباعتماد معيار ISO / IEC 27017 كمرجع لذلك، يمكنك حماية منظَّمتك بأفضل شكل ممكن.

لمزيد من المعلومات عن معيار الآيزو 27017 أو للإستفسار عن خدماتنا، نأمل تعبئة الحقول أدناه، وسنقوم بالتواصل معكم في أسرع وقت!