نظام إدارة أمن المعلومات 27001:2022 ISMS ISO/IEC
أسداف جاهزون لتـقديـم خبراتهم والـتـي تـمـتـد لأكثر من 20 عاما في مــسـاعــدة كـافـــة أنــواع الـشـركات الصناعـية والتجارية والخدمية لتطبيق معايــيـر نظـام إدارة أمن المعلومات 27001:2022 ISMS ISO/IEC والـحــصـــول عـلـى شـهـادة ISO، فـمـن خـلال عـمـلـــنـــا سـنـكــون مـعــكـم خطـوة بخـطـوة لـبــناء نظـام فـعـال يـتوافـق مـــع الـمـعـايــــيـــر الـعـالـمــيــة ويـسـاعـدكـم على مـــراقــــبــة عــمـلـيــات تـخــطــيــط وتـقـديـم وتـنـفـيـذ الـــخــدمـــــات والـمنـتـجــات وتحليل المخاطر التي تهدد أمن المعلومات ووضع نظام تحكم للتقليل من آثارها .
تعريف نظام إدارة أمن المعلومات 27001:2022 ISMS ISO/IEC:
إن معيار الآيزو 27001، الذي أنشأته المنظمة الدولية للمعايير (ISO) بالشراكة مع اللجنة الكهروتقنية الدولية (IEC) ، عبارة عن معيار لأمن المعلومات يوفر متطلبات نظام إدارة المعلومات (ISMS) ويُعرِّف معيار ISO 27001 ماهية نظام (ISMS)، وما هو المطلوب إدراجه ضمن نظام إدارة أمن المعلومات، وكيف ينبغي للإدارة أن تعمل على تنفيذ ومراقبة وصيانة النظام.
ISO 27001 هو جزء من مجموعة المعايير المطوّرة للتعامل مع أمن المعلومات وتسمّى ب”سلسلة معايير" . ISO /IEC 27000
تم تطوير معيار ISO 27001 لمساعدة جميع المؤسسات، بغض النظر عن حجمها أو مجال نشاطاتها، على حماية معلوماتها بطريقة منهجية وفعّالة، من خلال مساعدتها في تطبيق نظام إدارة أمن معلومات (ISMS) قوي.
ومن الجدير بالذكر أنّ الآيزو 27001 هو إطار شامل يُستخدم لحماية جميع أنواع المعلومات، بما في ذلك بيانات الموظفين، والبيانات المالية، وبيانات العملاء، وشروط الملكية الفكرية للشركات، والمعلومات الموكلة إلى طرف ثالث.
ISMS ISO/IEC 27001:2022 فوائد تطبيق نظام إدارة أمن المعلومات
بتطبيق نظام أيزو 27001 تقدم لمؤسستك عددا كبيراً من المزايا من أهمها:
- الامتثال للمتطلبات القانونية: هناك عدد متزايد من القوانين واللوائح والمتطلبات التعاقدية المتعلقة بأمن المعلومات التي يجب على المنظّمة الالتزام بها، ويمكن حل معظمها من خلال تطبيق معيار ISO 27001، إذ يمنحك هذا المعيار منهجية مثالية تمتثل لجميع القوانين واللوائح.
- اكتساب ميزة تنافسية: إذا حصلت مُنشأتك على شهادة الآيزو ولم يحصل عليها منافسيك، قد يكون لديك ميزة تنافسية تجذب بها العملاء الذين لديهم حساسية بشأن أمان معلوماتهم.
- انخفاض التكاليف: تتمثل الفلسفة الرئيسية لمعيار ISO 27001 في منع وقوع الحوادث الأمنية التي تُكلّف أموالًا طائلة. لذلك، ومن خلال منع وقوع تلك الحوادث، ستوفّر شركتك الكثير من المال. والخبر السار هنا أنّ تكاليف تطبيق والامتثال لـ ISO 27001 أقل بكثير من التكاليف المدفوعة في الإجراءات التصحيحية بعد وقوع الحوادث الأمنية.
منهجية اسداف في تطبيق نظام إدارة أمن المعلومات 27001:2022 ISMS ISO/IEC:
المرحلة الأولى: الاجـــتــــمـــاع الافـــتــتــاحــي:
يــعـتـــبر الاجــتــمـاع الافـــتــــتــــاحــي بــمــثــابـــة الــتـــهــيــئــة الأولــيــة للــعـامـلـين وتعريفهم بـالــمـــشــروع وفــوائــده وخــطــواتــه، وشــرح فـــوائـــد وأهــمــيـــة الامتثال لمتطلبات المواصفة 27001 ISO والــحـــصــــول عــلــى الشهادة والــنــتـائــج الإيــجــابــــيـــة المتوقعة على الـشـــركــة وعــلى الــمـــوظــفــيــن أنـفـسهم لــكـسر حواجز الخوف من التغيير.
GAP Analysis: المرحلة الثانية: تحليل الفجوة
باستخدام قوائم التحقق Check list والمقابلات المباشـرة مع العاملين ومـســؤولـي الـعـمـلـيـات والإدارة حيث يتم إجـراء زيارات ميـدانيـة للمـنـشـأة لدراسة إجراءات العـمـل الـمــتـبعة حاليا بــهــدف تــقــيــيم الــوضـــع الــحــالـي للــعــمــلـيـات وتــحـديـد مـــدى تـطـابـقـهـا وتـوافـقـها مع متطلبات المواصـفـة القياسية 27001 ISO، والتعرف على المــواصـــفـات الفنية واللوائح و التشريعات القانـونــيــة والوطنية ومعرفة الفجوة بين الــوضـع الحالي والوضــع المأمول الوصول إليه طبقا لمتطلبات المواصفة 27001 ISO.
Training المرحلة الثالثة: التدريب :
يشمل التدريب ثلاثة جوانب هي:
- تأهيل فريق الأمن السيبراني مـن خــلال تـــنـــفـــــيــذ مـجـمـوعـة من البرامج التدريبية خلال فترة التأهيل بــهــدف نــشـــر الـــوعـــي والـــمــعـرفــــة وإكــــســـــاب الــمــتــدربــيـــن الــمــهـارات والـمعارف اللازمة لفهم مــتـــطــلـــبـــات نظام إدارة أمن المعلومات 27001:2022 ISMS ISO/IEC ، ومــتـــطــلــبات إعداد وثــائـق النظام والــتــعــرف عــلـى الــمــفاهـيم الأساسية .
- تدريب الفريق على تحليل المخاطر التي تهدد أمن المعلومات وطرق التحكم فيها.
- تأهيل مجموعة من كوادر المنشأة ليكونوا مراجعين داخليين على النظام.
المرحلة الرابعة: التوثيق
يتم التوثيق بناء على مخرجات تحليل الفجوة بعد الاطلاع على أنظمة العـمل بالمنشأة، يتولى الفريق الاستشاري إنشاء الوثائق المطلوبة، والتي تشمل على سبيل المثال وليس الحصر:
|
م |
اسم الوثيقة |
الشركات والمصانع الكبرى (أكثر من 100) موظف |
الشركات والمصانع الصغرى (أقل من 100) موظف |
مؤسسات ومصانع صغيرة |
|
1 |
إجراء سياق المنظمة |
P |
P |
P |
|
2 |
إجراء إدارة المخاطر |
P |
P |
P |
|
3 |
إجراء وضع أهداف الأمن السيبراني للمنشأة |
P |
P |
P |
|
4 |
إجراء إدارة التغييرات التقنية |
P |
P |
P |
|
5 |
إجراء المراقبة والتحكم والقياس في أمن المعلومات |
P |
P |
P |
|
6 |
إجراء ضبط ومراقبة المعلومات الموثقة (الوثائق – السجلات) |
P |
P |
P |
|
7 |
إجراء الاتصالات الداخلية والخارجية |
P |
P |
P |
|
8 |
إجراء التدريب والموارد البشرية |
P |
P |
P |
|
9 |
إجراء العمليات الخاصة |
P |
P |
P |
|
10 |
إجراء التحكم في عدم المطابقة |
P |
P |
P |
|
11 |
إجراء الأفعال التصحيحية والوقائية والتحسين |
P |
P |
P |
|
12 |
إجراء المراجعة الداخلية |
P |
P |
P |
|
13 |
إجراء مراجعة الإدارة |
P |
P |
P |
|
14 |
إجراءات تحليل مخاطر أمن المعلومات |
P |
P |
P |
|
15 |
إجراء الأمن السيبراني |
P |
P |
P |
|
16 |
إجراء أهداف الأمن السيبراني |
P |
P |
P |
|
17 |
إجراء تحسين أمن المعلومات |
P |
P |
P |
|
18 |
خطة إدارة مخاطر أمن المعلومات |
P |
P |
P |
|
19 |
تعليمات التعامل مع مختلف المخاطر التقنية |
P |
P |
P |
|
20 |
أتمتة نظام إدارة أمن المعلومات |
P |
P |
P |
المرحلة الخامسة: تطبيق النظام
بعد اكــــتـــــمـــــال إعــــــداد الــــــــمـــــــنـــظـــــــومـــــة الـــــمــــوثــــقــــة لنظام إدارة أمن المعلومات 27001:2022 ISMS ISO/IEC ، تبدأ الــمـــرحـــــلة الأهـــــم في دورة حـيـاة المشروع ألا وهي توزيع جميع الوثائق على المعنيين في المنشأة، ومن ثم تــطـبيق الإجــراءات الـمـسـتـحدثة واستخدام جميع الـنـمـاذج الـمـرفقة بها وحفظ تلك السجلات كدليل علـى الـتطبيق، بالإضافـة إلى مــــراقـبـة عـمــلـيـة التطبيق للتأكد من الاستخدام الأمثل للوثائق وتحقيقها للهدف المرجو منها في وجود نظام قوي لإدارة السلامة والصحة المهنية.
Internal Audit المرحلة السادسة: المراجعة الداخلية
في هذه المرحلة يتم التحقق من العمليات السابقة، وأنها تمت بشكل جيد، كما تضمن استمرارية كفاءة نظام إدارة أمن المعلومات والتزام جميع العاملين والموظفين بالأدوار والمهام الموكلة إليهم، حيث يتم إعداد خطة المراجعة الداخلية بواسطة الفريق الاستشاري، وتنفيذ مراجعة داخلية على النظام كاملا.
Management Review Meeting المرحلة السابعة: تنفيذ اجتماع مراجعة الإدارة
كـأحـد أهــم متطلبات المواصفة القياسية الدولية 27001 ISO لـضـمـان دعــم الإدارة العليا في تطـبـيـق نـظــام الــجــودة، وإظـــهــار الـتــزامــهــا نــحـــو ذلـــــك، بالإضافة إلى مراجعة الأداء العام للمنشأة وتوفـيــر الــمـوارد الـمـطــلـوبـة، حــيـث ســيـقـوم الفريــق الاستشاري بـمسـاعدة ادارة المـنشـأة في تـــنــفـيـذ المراجعة الداخلية باحترافية كاملة
ISO/IEC 27001:2022 بنود مواصفة :
تتمثّل المتطلبات الإلزامية لمعيارـ ISO 27001 في البنود من 4 إلى 10، وهذا يعني أنه يجب تنفيذ جميع هذه المتطلبات في المُنشأة التي تُريد الامتثال للمعيار. كما يجب تنفيذ الضوابط الواردة في “الملحق أ” فقط إذا تم التصريح بأنها قابلة للتطبيق في بيان قابلية التطبيق.
يمكن تلخيص المتطلبات من الأقسام من 4 إلى 10 على النحو التالي:
البند 4: سياق المنظمة: يحدد متطلبات فهم القضايا الخارجية والداخلية، والأطراف المعنية ومتطلباتهم، وتحديد نطاق نظام ISMS
البند 5: القيادة: يحدد مسؤوليات الإدارة العليا، وتعيين الأدوار والمسؤوليات، ومحتويات سياسة أمن المعلومات عالية المستوى.
البند 6: التخطيط: يحدد متطلبات تقييم المخاطر، ومعالجة المخاطر، وبيان قابلية التطبيق، وخطة معالجة المخاطر، وتحديد أهداف أمن المعلومات.
البند 7: الدعم والمساندة: يحدد متطلبات توفر الموارد والكفاءات والوعي والاتصال والتحكم في المستندات والسجلات.
البند 8: التشغيل: يحدد آلية تنفيذ تقييم المخاطر ومعالجتها، وكذلك الضوابط والعمليات الأخرى اللازمة لتحقيق أهداف أمن المعلومات.
البند 9: تقييم الأداء: يحدد متطلبات المراقبة والقياس والتحليل والتقييم والتدقيق الداخلي ومراجعة الإدارة.
البند 10: التحسين: يحدد متطلبات القيام بعمليات عدم المطابقة والتصحيحات والإجراءات التصحيحية والتحسين المستمر.
ISMS ISO/IEC:27001:2022 الجهات والقطاعات المهتمة بنظام إدارة أمن المعلومات
- البنوك والشركات العاملة في القطاع المصرفي والمالي
- شركات التأمين وإدارة الأصول والثروات
- شركات الاستضافة وإدارة السيرفرات ومراكز المعلومات
- صناديق الاستثمار والشركات العاملة في البورصة وسوق الأسهم ولسندات
- شركات تقنيات المعلومات وتصميم البرامج والتطبيقات الإلكترونية
- مراكز البيانات وحفظ ومعالجة البيانات والمعلومات
- أى منشأة تحتفظ بمعلومات وبيانات للعملاء أو أي بيانات هامة أخرى