استشارات معيار آيزو 27001 لإدارة أمن المعلومات

أكثر الأصول أهمية بالنسبة لمعظم المنظمات اليوم هي البيانات، وبما أننا ندرك أهمية المحافظة على البيانات فإننا نقدم خدمة تطبيق معيار (ISO/IEC27001:2013).

لضمان الحصول على نظام شامل لحماية البيانات من التهديدات المختلفة، إن حماية البيانات الحساسة الخاصة بالمنظمة ليست هي الميزة الوحيدة التي يقدمها نظام إدارة أمن المعلومات، ولكنه أيضاً يحمي سمعة المنظمة بالحصول على اعتماد دولي يزيد من ثقة العملاء وأصحاب المصلحة في المنظمة مما يرفع المستوى التنافسي محلياً وعالمياً.

كيف ابدأ في تطبيق نظام إدارة أمن المعلومات؟

  1. إعداد خطة لإيضاح الوقت المطلوب للتنفيذ، والجودة التي سيحققها المعيار.
  2. إجراء تحليل فجوة (gap analysis) لتوضيح نقاط الضعف، وعمل تقرير يعطي فكرة جيدة عما يمكن عمله للتحسين.
  3. توثيق تحليل المَخاطر.
  4. تحديد نطاق عمل المعيار، والسياسات، والإجراءات.
  5. تحديد الأدوار والمسؤوليات.
  6. توفير تدريب مناسب للموظفين وأصحاب المصلحة.
  7. إعداد الموظفين لاجتياز التدقيق الداخلي والخارجي.
  8. الحصول على الاعتماد الدولي.
آيزو 27001 استشارات معيار آيزو 27001 لإدارة أمن المعلومات مجموعة ريناد المجد لتقنية المعلومات RMG

معلومات عن نظام إدارة أمن المعلومات( آيزو 27001)

يعتبر معيار (ISO/IEC 27001:2013) المعيار الدولي الذي يوضح كيفية وضع نظام إدارة أمن المعلومات بشكل معتمد وتطبيقه والحفاظ عليه وتحسينه باستمرار، ضمن أطر عملية مما يسمح بالحفاظ على البيانات الحساسة والسرية بشكل آمن والتقليل من احتمال الوصول إليها بشكلٍ غير قانوني أو بدون إذن كما يسمح بإدارة المخاطر الأمنية واسترداد المعلومات وتقليل الخروقات الأمنية.

والتأكد من وجود نظام أمن معلومات يؤدي المهام بكفاءة ويتابع مستويات الحماية الخاصة بالمنظمة من خلال :

  1. إدارة الأعطال الأمنية.
  2. حماية أصول المنظمة.
  3. السماح بتبادل آمن للمعلومات.
  4. الحفاظ على سلامة المعلومات السرية
  5. تقديم الخدمات بشكل ثابت ومستقر.
  6. تزويد المؤسسة بخاصية تنافسية.
آيزو 27001 استشارات معيار آيزو 27001 لإدارة أمن المعلومات مجموعة ريناد المجد لتقنية المعلومات RMG

نسخة الإصدار

ولمواكبة أحدث التطورات سيتم العمل على النسخة الأحدث لمعيار:

( ISO/IEC27001 )وهي نسخة (2013). علماً أن الإصدار الأول من المعيار كان بنسخة(2005)

وتحتوي النسخة الأخيرة على تغييرات كثيرة أهمها:

  1. زيادة التركيز على إدارة المخاطر

كنقطة أساسية ، يشير معيار( ISO 27001: 2013) إلى طريقة جديدة للقيام بتحليل قابلية تطبيق الضوابط بناءً على تحليل المخاطر.

  1. اختيار منهجيات أكثر مرونة أثناء تحليل المخاطر

يحتل تحديد الأصول المرتبة الخلفية في تحليل المخاطر ، لذا فإن المعيار يشير فقط إلى الحاجة إلى “تحديد المخاطر” التي تؤثر على أمن المعلومات في أي من أبعادها (السرية ، والسلامة ، وتوافر المعلومات)

وبهذا المعنى ، فإنه يترك الباب مفتوحاً أمام إمكانية استخدام خيارات أخرى لتحليل المخاطر باتباع توصيات معيار (ISO 31000) بشأن إدارة المخاطر.

  1. تحديد عناصر التحكم في الأمان

يمكن أن يتم اختيار الضوابط في المرحلة الأولى عن طريق اختيار الضوابط التي تعتبر مناسبة لنوع النشاط دون مراعاة إطار مرجعي محدد مثل تلك المدرجة في الملحق أ

  • يسمح باستخدام أنظمة التحسين المستمر بخلاف دورة (PDCA).
  • يقدم الهيكل الجديد عالي المستوى وفقًا لـ Annex SL ، مما يسهل التكامل مع معايير الآيزو الأخرى.
  1. مراجعة المتطلبات وتعديل بعض الضوابط في الإصدار الجديد:
  • أصول المعلومات

يتم استبدال مصطلح “الأصول المرتبطة بالمعلومات” بعبارة “المعلومات والأصول الأخرى المرتبطة بالمعلومات”

هذا لتحديد أن موضوع جرد الأصول هو المعلومات والأصول المرتبطة بها .

  • استبعاد البند 6.1.3 مسؤولية استخدام أصول المعلومات في جميع مراحل سلسلة التوريد.
  • حذف البند 1.3 الاستخدام المقبول لأصول إرشادات التنفيذ.
آيزو 27001 استشارات معيار آيزو 27001 لإدارة أمن المعلومات مجموعة ريناد المجد لتقنية المعلومات RMG

إن اعتماد نظام الآيزو سواء للحصول على الشهادة أو تطبيقه في المنظمة كأفضل ممارسة سيعود على المنظمة بالفوائد التالية:

  1. إدارة وتقليل تأثير المخاطر المتعلقة بالأصول المعلوماتية من خلال تصميم أفضل الضوابط الأمنية الداخلية وأكثرها مناسبة لبيئة الأعمال.
  2. حماية المنظمة وحماية اصول المستفيدين والموردين.
  3. المحافظة على أمن المعلومات السرية.
  4. ضمان استمرارية الأعمال بشكل آمن في حالات الأزمات.
  5. تزويد العملاء وأصحاب المصالح بالثقة في كيفية إدارة المخاطر المرتبطة بالأصول المعلوماتية.
آيزو 27001 استشارات معيار آيزو 27001 لإدارة أمن المعلومات مجموعة ريناد المجد لتقنية المعلومات RMG

منهجية تطبيق نظام إدارة أمن المعلومات وفق معيار الآيزو 27001

  1. تحليل الثغرات( Gap Analysis )

ستشير هذه المرحلة إلى نقاط الضعف في مجالات ومتطلبات (ISO 27001:2013)

والتي ستوفر للمنظمة المؤشرات والتوجيهات بشأن المجالات التي تحتاج إلى مزيد من التركيز والاهتمام.

ستوفر هذه المهمة صورة واضحة للحالة الحالية وتحليل نضج الإدارة بالنسبة للمواصفة العالمية .

كما ستساعد الإدارة العليا على :

  • تحديد خارطة الطريق والإجراءات المطلوبة والبحث فيها لتحقيق مرونة المنظمة الشاملة ونهج خطة التنفيذ.
  • إعادة تصميم الجهد (إذا وحيثما لزم الأمر) ، في ضمان توجيه الميزانيات المخصصة ودعم احتياجات العمل المناسبة .

يتم إجراء التحليل عبر:

  • مقابلات الموظفين وورش العمل (مع موظفي الإدارة )
  • مراجعة الوثائق والسجلات الحالية
  1. إدارة مخاطر تقنية المعلومات

تحديث/تطوير منهجية إدارة مخاطر تقنية المعلومات والتي تتضمن عمليتين رئيسيتين

  • عمليات تقييم المخاطر.
  • ومعالجه المخاطر/التخفيف من حدتها.

وتهدف عمليه تقييم المخاطر إلى إيجاد المخاطر وتحديد مدى التأثير المحتمل على أمن الأصول وتحديد احتمال حدوثها والأثر الناتج عنهاويساعد ناتج هذه العملية على تحديد الضوابط المناسبة للحد من المخاطر أو القضاء عليها أثناء عملية معالجة المخاطر/التخفيف من حدتها.

  • عملية تقييم المخاطر تتكون من 4 خطوات رئيسية :

الخطوة الأولى : تحديد الأصول وتصنيفها

والغرض من هذه الخطوة هو تحديد وتصنيف الأصول/الخدمات ضمن النطاق عن طريق جمع معلومات البنية التحتية لضمان التقييم الشامل والفعال للأصول .

يتم تطوير سجل الأصول/الخدمات الذي يحتوي على الأصول/الخدمات ضمن نطاق الإدارة المذكورة ومكوناتها ، مثل الأصناف التالية :

  1. أصول الأجهزة.
  2. أصول البرمجيات.
  3. العمليات التجارية.
  4. الموظفين والمتقاعدين .

الخطوة الثانية : تقييم الأصول/الخدمات

والغرض من هذه الخطوة هو تحديد قيم الأصول وأهميتها مع مراعاة المتطلبات القانونية المحددة فضلاً عن التأثيرات على الأعمال التجارية ، والناجمة عن فقدان السرية (Confidentiality)،والثبات (Integrity) والتوافر (Availability).

الخطوة الثالثة : تحديد التهديدات ونقاط الضعف

والغرض من هذه الخطوة هو تحديد التهديدات وأوجه الضعف التي تؤثر على الأصول/الخدمات في نطاق الإطار المتفق عليه.

الخطوة الرابعة : حساب/قياس قيمة المخاطر

والغرض من هذه الخطوة هو قياس مستوى المخاطر التي تتعرض لها كل من الأصول/الخدمات ، يتم تحديد الضوابط المناسبة واختيارها للمخاطر غير المقبولة ، استناداً إلى منهجية إدارة مخاطر تقنية المعلومات.

–  معالجة المخاطر

عمليه معالجة المخاطر أو التخفيف من حدتها تحدد الضوابط الأمنية ، وتعمل على تقليل المخاطر إلى مستوى مقبول بعد النظر في خطه العلاج/التخفيف.

تشمل معالجة المخاطر/التخفيف منها تحديد أولويات الضوابط المناسبة وتقييمها وتنفيذها استناداً إلى عملية تقييم المخاطر من خلال:

  • التخفيف من المخاطر: للحد من احتمال أو تأثير المخاطر من خلال تطبيق ضوابط أمن المعلومات.
  • نقل المخاطر: لتمرير المخاطر إلى أطراف أخرى مثل التغطية التأمينية
  • تجنب المخاطرعدم المضي قدما في أي نشاط من المرجح أن يؤدي إلى المخاطرة.
  • قبول المخاطر: بتحمل المخاطر.
  1. متطلبات نظام إدارة أمن المعلومات

سيتم استعراض/تطوير الوثائق المطلوبة لهذا الغرض:

الأدوار والمسؤوليات: الأدوار والمسؤوليات مهمة للمساعدة في إنشاء، وتطوير نطام إدارة أمن المعلومات ، تطوير نظام إدارة أمن المعلومات عن طريق إسناد الأدوار والمسؤوليات وإنشاء اللجنة التوجيهية للأمن المعلوماتي التي ستوجه فريق الأمن خلال مرحله التنفيذ.

  1. إنشاء سياسات وإجراءات أمن المعلومات

إن وضع سياسات وإجراءات أمن المعلومات ، هو أمر هام جداً في نجاح تنفيذ نظام إدارة أمن المعلومات.

ويجب أن تشمل السياسات مجالات مختلفة مثل:

  • سياسة الاستخدام المقبول.
  • سياسة التحكم في الوصول.
  • سياسة إدارة الأصول.
  • سياسة استمرارية الأعمال.
  • سياسة أمن الاتصالات.
  • سياسة الالتزام.
  • سياسة التشفير.
  • سياسة أمن الموارد البشرية.
  • سياسات أمن المعلومات.
  • سياسة إدارة حوادث أمن المعلومات.
  • سياسة أمن العمليات.
  • سياسة الأمن المادي والبيئي.
  • سياسة العلاقات مع الموردين.
  • سياسة حيازة وتطوير وصيانة أنظمة المعلومات.

 إجراءات أمن المعلومات:

  • إجراءات إدارة الأصول
  • إجراءات إدارة المخاطر
  • إجراءات إدارة التغيير
  • إجراءات إدارة حوادث أمن المعلومات
  • إجراءات النسخ الاحتياطي والاستعادة
  • إجراءات إدارة وصول المستخدم
  • إجراءات المراجعة الإدارية
  • إجراءات مراقبه المستندات والسجلات
  • إجراءات أمن الموظفين
  1. التوعية (نقل المعرفة)

ستعقد ريناد المجد جلسات توعوية.

والغرض منها:

  • تثقيف الإدارة والموظفين بشأن المبادئ الأمنية الأساسية.
  • استرعاء الانتباه إلى قضايا أمن المعلومات وزيادة فهمهم لأوجه الضعف والتهديدات التي تؤثر على أمن نظم المعلومات والمعلومات في المنظمة.
  1. التدقيق الداخلي

تجهيز المنظمة ودراسة استعدادها للبدء في عمليه الاعتماد من خلال:

إعداد خطة التدقيق الداخلي

  • إجراء تدقيق داخلي
  • نقل المعرفة الى موظفي الإدارة وتدريبهم على التدقيق الداخلي
  • إعداد خطه العمل التصحيحية (CAP) للتخفيف من نتائج التدقيق الداخلي وسد الثغرات المحددة. خطة العمل التصحيحية ستصف بشكل واضح النشاط والمالك والجداول الزمنية لتنفيذ خطة العمل.  وكحد أدنى ، ستشمل:
  • وصف واضح لنقاط الضعف.
  • خطه عمل لحل هذا النقص.
  1. التدقيق الخارجي

حيث سنقوم بالتعاقد مع إحدى شركات المنح المعتمدة لمنح شهادة (ISO/IEC27001:2013) لمدة ثلاث سنوات

آيزو 27001 استشارات معيار آيزو 27001 لإدارة أمن المعلومات مجموعة ريناد المجد لتقنية المعلومات RMG

مكونات نظام إدارة أمن المعلومات (ISMS) حسب متطلبات المواصفة العالمية (ISO/IEC 27001:2013)

1-  مجال التطبيق(ISMS)

في هذا البند يعطينا المعيار بعض المؤشرات على قابلية تطبيق معيار( ISO 27001) وكيفية استخدامه.

يمكننا أن نستخلص كأحد الاستنتاجات الرئيسية أن المعيار يمكن تطبيقه على أي نوع من أنواع المنظمات سواء كانت حكومية او خاصة مهما كان حجمها وأن الشركات الصغيرة والمتوسطة الحجم لديها في هذا النظام أدوات تسمح لها بالحفاظ على أمان وسرية معلوماتها .

يجعل (ISO 27001) إدارة أمن المعلومات متاحة للجميع من خلال الشهادات المعتمدة التي توفر للشركات الصغيرة والمتوسطة الحجم تنافساً أكبر مع الشركات الكبرى التي قد يكون لديها إدارات مختصة بالأمن المعلوماتي والسيبراني .

2- المراجع المعيارية:

في هذا الفصل تتم الإشارة إلى معيار( ISO / IEC 27000) حيث يتم تقديم رؤية عامة لأنظمة إدارة أمن المعلومات (ISMS) ، حول منهجية (PDCA) الأساسية لجميع أنظمة الإدارة

دورة( PDCA) للتحسين المستمر ، على الرغم من عدم ذكرها بشكل صريح في الإصدار 27001: 2013 كما هو الحال في الإصدارات السابقة من المعيار ، إلا أنها تشكل الإطار الأساسي الذي تم بناء نظام إدارة (ISMS) عليه.

كاختلاف جوهري مع الإصدار السابق (ISO 27001: 2005) ، لا تنص المراجعة 27001: 2013 لذلك يتم ترك المصطلحات والتعريفات فقط كمرجع معياري. وهذا يعني أن أدلة ضوابط أمن المعلومات الأخرى غير تلك المقترحة في الملحق يمكن أن تؤخذ في إشارة واضحة لتكييف تنفيذ المعيار مع جميع أنواع المنظمات.

3- المصطلحات والتعاريف:

من أجل الحصول على دليل واحد من المصطلحات والتعريفات المتسقة ، في إطار( ISO 27001 ) يتم وضع تعريفات للمفردات الأساسية التي تشير إلى أمان المعلومات التي سيتم استخدامها لاحقًا في متطلبات المعيار.

في الإصدار الحالي من معيار (ISO 27001: 2013) ، تمت الإشارة إلى المصطلحات والتعريفات في القسم 3 “الأساسيات والمفردات” من معيار( ISO 27001: 2013 ).

4- سياق المنظمة:

تعتبر معرفة المنظمة وسياقها مطلباً للبدء من أجل إنشاء نقطة مرجعية في تطبيق نظام إدارة أمن المعلومات،

من خلال وضع أهداف لأمن المعلومات مع مراعاة أهداف العمل في المنظمة .

ويجب أن تستند معرفة المنظمة إلى تعريف كل القضايا الخارجية والداخلية فيما يتعلق بأمن المعلومات والتي قد تساعد أو تضر بتحقيق أهداف المنظمة واستراتيجيتها العامة .

5- القيادة

تشير المتطلبات المتعلقة بالقيادة إلى الالتزام الذي يجب على إدارة المنظمة ممارسته في عملية تنفيذ

(ISMS) وفي مراجعة (ISO 27001: 2013) تعتبر المشاركة المستمرة للإدارة في تنفيذ ثقافة سلامة أمن المعلومات في جميع إدارات المنظمة او الشركة.

من خلال التحقق بمساهمة كل من الموارد البشرية والمادية لتحقيق أهداف أمن المعلومات

بالإضافة إلى ذلك ، ضمن مسؤوليات الإدارة العليا :

  • تطوير سياسة أمنية وتحديد أهداف أمن المعلومات.
  • إيصال الأهداف إلى المنظمة بأكملها من أجل إشراك جميع الموظفين في أهداف أمن المعلومات وتحديد مجالات المسؤولية والأدوار المقابلة لأمن المعلومات.
  •  مراقبة فرص التحسين في مجالات أمن المعلومات من أجل تعزيز وتحقيق التحسين المستمر.

6- التخطيط:

بمجرد تحديد احتياجات وتوقعات الأطراف المهتمة كما هو موضح في البند الرابع من المواصفة  (سياق المنظمة )، يجب علينا وضع خطة لتحديد المخاطر التي يجب أن نتعامل معها والأنشطة التي يجب القيام بها للتخفيف من المخاطر المذكورة أو تجنبها.

مكونات التخطيط :

  • تحديد احتياجات وتوقعات الأطراف المعنية.
  • تحليل المخاطر والفرص:
    • تحديد منهجية تحليل المخاطر.
    • تحديد أصول المعلومات في المنظمة .
    • تحليل المخاطر (تحديد التهديدات ونقاط الضعف في أمن المعلومات).
  • تقييم المخاطر (تحليل الأثر أو حساب المخاطر).
  • خطة معالجة المخاطر
    • معايير تخصيص المخاطر والعلاج.
    • اختيار التحكم.
    • بيان قابلية التطبيق (الضوابط المطلوبة وغير القابلة للتطبيق).
    • خطة إدارة المخاطر.

7-  الدعم:

في هذا القسم ينص المعيار على تحديد الموارد اللازمة لتنفيذ الخطط التي تم وضعها في البند السادس التخطيط، مع الأخذ في الاعتبار دائمًا التزام الإدارة بتوفير الموارد اللازمة.

من خلال:

  • إدارة الموارد.
  • كفاءة الموظفين ووعيهم.
  • التواصل والوعي لجميع أصحاب المصلحة ، بما في ذلك مقدمي الخدمات الخارجيين والموردين.
  • متطلبات التوثيق كدليل على الامتثال لمتطلبات المعيار(ISO/IEC27001).

8- العمليات :

البند الذي يحتوي على إجراءات أمن المعلومات التي تم تحديدها في البنود السابقة على وجه التحديد

  • – سياق المنظمة (تحديد مصالح الأطراف)
  • التخطيط (خطة معالجة المخاطر)

في هذا البند سيتم توجيه المتطلبات إلى المراقبة والإشراف على خطط معالجة المخاطر ودمجها في العمليات.

9- تقييم الأداء:

كجزء أساسي من أي نظام إدارة ، يجب علينا تقييم أداء الإجراءات المتخذة.

من خلال :

  • عمليات تدقيق أمن المعلومات الداخلية.
  • عملية مراجعة الإدارة.
  • وضع مؤشرات أداء قياسية(Key Performance Indicators) لكل إجراءات أمن المعلومات .

10- التحسين:

تحسين نظام إدارة أمن المعلومات من خلال التحديث المستمر لنظام الإدارة ويشمل المراجعة الدائمة لإيجاد فرص لتحسين الأداء من خلال معالجة حالات عدم المطابقة التي تم اكتشافها في التدقيق الداخلي، ومراجعة الإدارة، والتدقيق الخارجي من جهة المنح المعتمدة .

تواصل معنا اليوم وسنكون سعداء بخدمتك