- تحليل الثغرات( Gap Analysis )
ستشير هذه المرحلة إلى نقاط الضعف في مجالات ومتطلبات (ISO 27001:2013)
والتي ستوفر للمنظمة المؤشرات والتوجيهات بشأن المجالات التي تحتاج إلى مزيد من التركيز والاهتمام.
ستوفر هذه المهمة صورة واضحة للحالة الحالية وتحليل نضج الإدارة بالنسبة للمواصفة العالمية .
كما ستساعد الإدارة العليا على :
- تحديد خارطة الطريق والإجراءات المطلوبة والبحث فيها لتحقيق مرونة المنظمة الشاملة ونهج خطة التنفيذ.
- إعادة تصميم الجهد (إذا وحيثما لزم الأمر) ، في ضمان توجيه الميزانيات المخصصة ودعم احتياجات العمل المناسبة .
يتم إجراء التحليل عبر:
- مقابلات الموظفين وورش العمل (مع موظفي الإدارة )
- مراجعة الوثائق والسجلات الحالية
- إدارة مخاطر تقنية المعلومات
تحديث/تطوير منهجية إدارة مخاطر تقنية المعلومات والتي تتضمن عمليتين رئيسيتين
- عمليات تقييم المخاطر.
- ومعالجه المخاطر/التخفيف من حدتها.
وتهدف عمليه تقييم المخاطر إلى إيجاد المخاطر وتحديد مدى التأثير المحتمل على أمن الأصول وتحديد احتمال حدوثها والأثر الناتج عنها. ويساعد ناتج هذه العملية على تحديد الضوابط المناسبة للحد من المخاطر أو القضاء عليها أثناء عملية معالجة المخاطر/التخفيف من حدتها.
- عملية تقييم المخاطر تتكون من 4 خطوات رئيسية :
الخطوة الأولى : تحديد الأصول وتصنيفها
والغرض من هذه الخطوة هو تحديد وتصنيف الأصول/الخدمات ضمن النطاق عن طريق جمع معلومات البنية التحتية لضمان التقييم الشامل والفعال للأصول .
يتم تطوير سجل الأصول/الخدمات الذي يحتوي على الأصول/الخدمات ضمن نطاق الإدارة المذكورة ومكوناتها ، مثل الأصناف التالية :
- أصول الأجهزة.
- أصول البرمجيات.
- العمليات التجارية.
- الموظفين والمتقاعدين .
الخطوة الثانية : تقييم الأصول/الخدمات
والغرض من هذه الخطوة هو تحديد قيم الأصول وأهميتها مع مراعاة المتطلبات القانونية المحددة فضلاً عن التأثيرات على الأعمال التجارية ، والناجمة عن فقدان السرية (Confidentiality)،والثبات (Integrity) والتوافر (Availability).
الخطوة الثالثة : تحديد التهديدات ونقاط الضعف
والغرض من هذه الخطوة هو تحديد التهديدات وأوجه الضعف التي تؤثر على الأصول/الخدمات في نطاق الإطار المتفق عليه.
الخطوة الرابعة : حساب/قياس قيمة المخاطر
والغرض من هذه الخطوة هو قياس مستوى المخاطر التي تتعرض لها كل من الأصول/الخدمات ، يتم تحديد الضوابط المناسبة واختيارها للمخاطر غير المقبولة ، استناداً إلى منهجية إدارة مخاطر تقنية المعلومات.
– معالجة المخاطر
عمليه معالجة المخاطر أو التخفيف من حدتها تحدد الضوابط الأمنية ، وتعمل على تقليل المخاطر إلى مستوى مقبول بعد النظر في خطه العلاج/التخفيف.
تشمل معالجة المخاطر/التخفيف منها تحديد أولويات الضوابط المناسبة وتقييمها وتنفيذها استناداً إلى عملية تقييم المخاطر. من خلال:
- التخفيف من المخاطر: للحد من احتمال أو تأثير المخاطر من خلال تطبيق ضوابط أمن المعلومات.
- نقل المخاطر: لتمرير المخاطر إلى أطراف أخرى مثل التغطية التأمينية
- تجنب المخاطر: عدم المضي قدما في أي نشاط من المرجح أن يؤدي إلى المخاطرة.
- قبول المخاطر: بتحمل المخاطر.
- متطلبات نظام إدارة أمن المعلومات
سيتم استعراض/تطوير الوثائق المطلوبة لهذا الغرض:
الأدوار والمسؤوليات: الأدوار والمسؤوليات مهمة للمساعدة في إنشاء، وتطوير نطام إدارة أمن المعلومات ، تطوير نظام إدارة أمن المعلومات عن طريق إسناد الأدوار والمسؤوليات وإنشاء اللجنة التوجيهية للأمن المعلوماتي التي ستوجه فريق الأمن خلال مرحله التنفيذ.
- إنشاء سياسات وإجراءات أمن المعلومات
إن وضع سياسات وإجراءات أمن المعلومات ، هو أمر هام جداً في نجاح تنفيذ نظام إدارة أمن المعلومات.
ويجب أن تشمل السياسات مجالات مختلفة مثل:
- سياسة الاستخدام المقبول.
- سياسة التحكم في الوصول.
- سياسة إدارة الأصول.
- سياسة استمرارية الأعمال.
- سياسة أمن الاتصالات.
- سياسة الالتزام.
- سياسة التشفير.
- سياسة أمن الموارد البشرية.
- سياسات أمن المعلومات.
- سياسة إدارة حوادث أمن المعلومات.
- سياسة أمن العمليات.
- سياسة الأمن المادي والبيئي.
- سياسة العلاقات مع الموردين.
- سياسة حيازة وتطوير وصيانة أنظمة المعلومات.
إجراءات أمن المعلومات:
- إجراءات إدارة الأصول
- إجراءات إدارة المخاطر
- إجراءات إدارة التغيير
- إجراءات إدارة حوادث أمن المعلومات
- إجراءات النسخ الاحتياطي والاستعادة
- إجراءات إدارة وصول المستخدم
- إجراءات المراجعة الإدارية
- إجراءات مراقبه المستندات والسجلات
- إجراءات أمن الموظفين
- التوعية (نقل المعرفة)
ستعقد ريناد المجد جلسات توعوية.
والغرض منها:
- تثقيف الإدارة والموظفين بشأن المبادئ الأمنية الأساسية.
- استرعاء الانتباه إلى قضايا أمن المعلومات وزيادة فهمهم لأوجه الضعف والتهديدات التي تؤثر على أمن نظم المعلومات والمعلومات في المنظمة.
- التدقيق الداخلي
تجهيز المنظمة ودراسة استعدادها للبدء في عمليه الاعتماد من خلال:
إعداد خطة التدقيق الداخلي
- إجراء تدقيق داخلي
- نقل المعرفة الى موظفي الإدارة وتدريبهم على التدقيق الداخلي
- إعداد خطه العمل التصحيحية (CAP) للتخفيف من نتائج التدقيق الداخلي وسد الثغرات المحددة. خطة العمل التصحيحية ستصف بشكل واضح النشاط والمالك والجداول الزمنية لتنفيذ خطة العمل. وكحد أدنى ، ستشمل:
- وصف واضح لنقاط الضعف.
- خطه عمل لحل هذا النقص.
- التدقيق الخارجي
حيث سنقوم بالتعاقد مع إحدى شركات المنح المعتمدة لمنح شهادة (ISO/IEC27001:2013) لمدة ثلاث سنوات