معيار ISO 27017 -ضوابط أمن المعلومات للخدمات السحابية

في وقتنا الحالي، تستخدم معظم المنظَّمات تقنيات الحوسبة السحابية لكي تزيد من سرعة ودقة عملياتها، وتدعم استمرارية الأعمال وإمكانية التوسّع مستقبلاً، ولكنَّها بالمقابل تجعلها أكثر عرضةً لتهديدات فقدان المعلومات بشكل غير مشروع.

فالحلول السحابية ليست مجرد تقنية تستطيع إدخالها لمنظّمتك بقرار سهل، بل تعتبر تحدّي استراتيجي للمنظمات على حد سواء. وقد أدّى زيادة اهتمام العملاء بأمن السحابة قبل شراء الخدمة إلى ازدياد اهتمام مقدمي الخدمات السحابية بتطبيق أفضل الممارسات الأمنية.

إذاً، كيف يمكنك الاستمرار بتقديم الخدمات السحابية مع الحفاظ على ثقة العملاء بقدرتك على تأمين وحماية بياناتهم؟ هنا يأتي دور معيار ISO 27017.

الآيزو /آي إي سي 27017 هو معيار أمني تم تطويره من قبل المنظمة الدولية للتقييس (ISO) واللجنة الكهروتقنية الدولية (IEC) عام 2015 لمقدمي الخدمات السحابية ومستخدميها بهدف تعزيز أمان الحلول السحابية وتقليل مخاطرها على المنظمات. وهو جزء من مجموعة معايير الأمن ISO / IEC 27000 والتي تقدم إرشادات لأفضل الممارسات بشأن إدارة أمن المعلومات.

ISO 27017 هي مجموعة ممارسات وإرشادات تهدف لمساعدة عملاء ومُقدمي الخدمات السحابية على التشغيل الآمن والفعّال لخدمات السحابة؛ لكي تُبقيهم وبياناتهم وبيانات العملاء آمنة من التهديدات السيبرانية.

طُوّر هذا المعيار بناءً على معيار سابق، وهو ISO / IEC 27002، ليُضيف ضوابط أمنية تتعلق بالسحابة لم تُذكَر في المعيار السابق.

وتوضح مواصفة الآيزو /آي إي سي 27017 أدوار ومسؤوليات كل من مقدمي الخدمات السحابية والعملاء للمساعدة في جعل الخدمات السحابية آمنة.

يشمل المعيار 37 ضابطة من مواصفة ISO/IEC 27002 و7 ضوابط حصرية تتناول ما يلي:

• الأدوار والمسؤوليات في بيئة الحوسبة السحابية
• سياسات نقل واسترجاع معلومات العملاء عند إنهاء العقد المُبرَم
• حماية مساحة الحوسبة وفصلها عن بيئات العملاء الآخرين
• متطلبات لتلبية احتياجات الأعمال التجارية
• الإجراءات والعمليات الإدارية المرتبطة ببيئة الحوسبة السحابية
• تمكين الزبائن من رصد الأنشطة داخل بيئة الحوسبة السحابية
• مواءمة إدارة الأمن الافتراضية والمادية

1. زيادة ثقة العملاء وأصحاب المصلحة واكتساب ميزة تنافسية: من المهم أن تُشعر عملائك أن منظّمتك تعمل بشكل استباقي لإصلاح جميع النقاط في قسم تقنية المعلومات لضمان أمان بياناتهم. هذا شيء يُمكّنك من التفوق على منافسيك ويمنحك ميزة تنافسية.
2. وضع استراتيجية طويلة الأجل للإستثمار: من خلال الالتزام بالمبادئ التوجيهية لـ ISO 27017، فإنّك تُقلّل من مخاطر الضرر بالعلامة التجارية. وهذا من شأنه أن يشجع المستثمرين المحتملين على النظر إليكم كشريك على قدر كافٍ من المسؤولية.
3. تقليل مخاطر الضرر بالعلامة التجارية
4. الامتثال للتشريعات التنظيمية الوطنية والدولية، مما يُقلّل من خطر فرض غرامات وعقوبات تنظيمية تتعلق بخصوصية المعلومات.
5. ضمان تحديد وتقييم وإدارة مخاطر الخدمات السحابية بشكل فعَّال واستباقي.
6. تحديد المسؤوليات والأدوار الأمنية التي تقع على كل من مقدمي الخدمات السحابية والعملاء.
7. ستكون مؤهلاً للعمل في مشاريع كبيرة من خلال تلبية متطلبات المناقصات والعطاءات.
8. يضمن تطبيق نظام ISO 27017 تحسين حلول التخزين السحابي الذي تستخدمه مؤسستك من حيث إعدادات الأمان وبروتوكولات الحماية لضمان استخدامك لنظام آمن.

يُعدّ موضوع أمن المعلومات المتعلق بالخدمات السحابية موضوعاً مهماً ويشغل حيز كبير من عملية اتخاذ قرار اعتمادها في المؤسسات والشركات، فوفقاً لتقرير نشرته منظمة تحالف الأمن السحابي عام 2015، توضح أن 73% من العاملين في إدارات تقنية المعلومات يعتقدون أنَّ أكبر عقبة أمام مشاريع الحوسبة السحابية هي أمن المعلومات، حيث يريد العملاء التأكّد من سلامة بياناتهم.

ويتيح معيار ISO 27017 للمنظمة إطار موحد لإرساء نظام الأمن السحابي. وعند استيعاب المتطلبات اللازمة، ستتمكن المنظَّمة من الحد من المخاطر التشغيلية ومخاطر العلامة التجارية وضمان استمرارية الأعمال.

يضم معيار الآيزو 27017 ثمانية عشر قسماً، بالإضافة إلى ملحق تشمل:

نحن نُدرك الفروقات بين المُنشآت، ونُؤمن أنَّ الحلول التي تنجح مع مُنشأة ما، قد لا تنجح في مكان آخر؛ لذلك نوفّر باقات متعددة ومميزة من الخدمات الاستشارية المتعلقة بمعيار ISO 27017:

• إجراء تحليل الفجوة للمساعدة في تحديد نقاط القوة والضعف لدى منظّمتك، وتقديم التوصيات المناسبة.
• تقديم استشارات ISO 27017 – لدينا فريق مكوَّن من +60 استشاري وخبير في مجالات مختلفة لمساعدتك في تنفيذ وتطبيق معيار الآيزو
• إجراء عمليات التدقيق الداخلية – يمكننا مساعدتك في تخطيط وإجراء عمليات التدقيق الداخلي للتحقق من امتثالك لمعيار ISO تتضمن هذه المرحلة التحقق من أن نظام الإدارة الذي تم إنشاؤه متوافق مع ISO 27017.
• تصميم وتطبيق الضوابط والسياسات الأمنية: وتشمل هذه المرحلة وضع سياسات قابلة للتطبيق وتقديم الدعم المناسب.
• يمكننا تقديم الدعم أثناء عمليات التدقيق الخارجية التي تجريها هيئات التصديق.
• خدمات تأهيل وتوظيف الكوادر الأمنية، وتأسيس أقسام ومكاتب الأمن الإلكتروني.
• تقديم جلسات توعوية ودورات تدريبية عن الأمن السحابي؛ لنقل المعرفة وتعزيز مهارات الموظفين.
• تركيب وتشغيل الحلول الأمنية (المادية والإلكترونية).
• صياغة منهجية مناسبة للاستجابة ووضع نظام للإبلاغ عن الحوادث الأمنية المتعلقة بالخدمات السحابية.

1. عند طلبك لخدمات شركة ريناد المجد (RMG)، تُتاح لك فرصة الاستفادة من +60 استشاري وخبير في مجالات الأمن السيبراني، وتقنية المعلومات، ومعايير الجودة العالمية.
2. تمتاز الشركة بالمرونة، ودقة التنفيذ، وإظهار النتائج بشكل سريع؛ كونها تُدرك جيداً الأبعاد العميقة للمحاور والمؤشّرات الواردة في الوثيقة.
3. لدينا فرق عمل خبيرة في مجالات اختبارات الاختراق وتقييم الثغرات الأمنية، وإجراء تحليل الفجوات.
4. لدينا خبرة طويلة في قطاعات الأعمال المختلفة، مثل: التجزئة، الرعاية الصحية، الصناعة، التعليم، القطاعات الخدمية.
5. ولأنَّ الحوادث الأمنية تحتاج ردة فعل سريعة، لدينا مركز دعم يعمل بشكل مستمر (24 ساعة /7 أيام)؛ لنستطيع تقديم الدعم المناسب في جميع الأوقات دون انقطاع.
6. عَمَلنا قائم على مبدأ الشفافية أولًا، حيث نُقدّم خطط عمل تفصيلية قبل أن نبدأ بتنفيذ المشروع.
7. نلتزم –خلال جميع مراحل تنفيذ المشروع– بجميع الأنظمة والقواعد المطبّقة في المملكة فيما يخص السلامة والصحة والبيئة.
8. لدينا مكتب إدارة مشاريع يقوم بجميع أعمال التنسيق والإشراف على المشروع.

وختاماً، تذكَّر أنه لديك مسؤوليات حقيقية، سواء كنت مُقدّم خدمات سحابية أو مستخدم لها، ويقع ضمن مسؤوليتك الحرص على تطبيق أفضل الممارسات الأمنية للحفاظ على أمان الخدمة السحابية. وباعتماد معيار ISO / IEC 27017 كمرجع لذلك، يمكنك حماية منظَّمتك بأفضل شكل ممكن.