نظام إدارة أمن المعلومات- آيزو 27001

كيف ابدأ في تطبيق نظام إدارة أمن المعلومات؟

  • تحديد نطاق تطبيق المعيار بدقة، وصياغة السياسات والإجراءات المنظمة للعمل.

  • توزيع الأدوار والمسؤوليات لضمان وضوح المهام وسلاسة التنفيذ.

  • إجراء تحليل فجوة (Gap Analysis) شامل لتقييم الوضع الحالي، وتحديد نقاط التحسين، مع إعداد تقرير يتضمن توصيات تطوير عملية.

  • تنفيذ وتوثيق تحليل المخاطر لضمان إدارة استباقية للتحديات المحتملة.

  • إعداد خطة تنفيذ تفصيلية توضح الإطار الزمني للتطبيق ومستوى الجودة المستهدف تحقيقه.

  • تقديم برامج تدريب وتأهيل للموظفين وأصحاب المصلحة لتعزيز الفهم والالتزام بمتطلبات المعيار.

  • تجهيز المؤسسة لاجتياز التدقيق الداخلي والخارجي بكفاءة وثقة.

  • استكمال متطلبات الحصول على شهادة الاعتماد الدولي ومتابعة إجراءاتها.

إذا رغبت، أستطيع إعادة صياغتها بأسلوب أكثر تسويقيًا وإقناعًا أو بشكل رسمي يناسب عرضًا لمجلس الإدارة.

 

معلومات عن نظام إدارة أمن المعلومات( آيزو 27001)

ISO/IEC 27001:2022 هو معيار دولي يحدد متطلبات إنشاء وتطبيق وتشغيل ومراقبة وتحسين نظام إدارة أمن المعلومات (ISMS) ضمن سياق عمل المنظمة. ويعتمد المعيار على نهج متكامل لأمن المعلومات يشمل الأفراد، والسياسات، والإجراءات، والتقنيات.

يهدف المعيار إلى حماية البيانات الحساسة ومعلومات المنظمة والأطراف ذات العلاقة من مختلف التهديدات الأمنية، من خلال إدارة فعّالة للمخاطر، وتقليل احتمالية الخروقات، وضمان القدرة على استمرارية الأعمال واستعادة المعلومات عند الحاجة.

كما يضمن وجود نظام متكامل لأمن المعلومات يعمل بكفاءة ويراقب مستوى الحماية داخل المؤسسة، وذلك من خلال:

  • إدارة الحوادث والأعطال الأمنية بفعالية.

  • حماية أصول وممتلكات المعلومات الخاصة بالمنظمة.

  • تمكين تبادل المعلومات بشكل آمن ومنضبط.

  • الحفاظ على سرية المعلومات وسلامتها وتوافرها.

  • ضمان تقديم الخدمات بصورة مستقرة وموثوقة.

  • تعزيز الميزة التنافسية للمؤسسة في السوق.

منهجية تطبيق نظام إدارة أمن المعلومات وفق معيار الآيزو 27001

 

ستشير هذه المرحلة إلى نقاط الضعف في مجالات ومتطلبات (Iso 27001:2022) والتي ستوفر للمنظمة المؤشرات والتوجيهات بشأن المجالات التي تحتاج إلى مزيد من التركيز والاهتمام.

ستوفر هذه المهمة صورة واضحة للحالة الحالية وتحليل نضج الإدارة بالنسبة للمواصفة العالمية .

كما ستساعد الإدارة العليا على :

  • تحديد خارطة الطريق والإجراءات المطلوبة والبحث فيها لتحقيق مرونة المنظمة الشاملة ونهج خطة التنفيذ.
  • إعادة تصميم الجهد (إذا وحيثما لزم الأمر) ، في ضمان توجيه الميزانيات المخصصة ودعم احتياجات العمل المناسبة .

يتم إجراء التحليل عبر:

  • مقابلات الموظفين وورش العمل (مع موظفي الإدارة )
  • مراجعة الوثائق والسجلات الحالية
  1. إدارة مخاطر تقنية المعلومات

تحديث/تطوير منهجية إدارة مخاطر تقنية المعلومات والتي تتضمن عمليتين رئيسيتين

  • عمليات تقييم المخاطر.
  • ومعالجه المخاطر/التخفيف من حدتها.

وتهدف عمليه تقييم المخاطر إلى إيجاد المخاطر وتحديد مدى التأثير المحتمل على أمن الأصول وتحديد احتمال حدوثها والأثر الناتج عنهاويساعد ناتج هذه العملية على تحديد الضوابط المناسبة للحد من المخاطر أو القضاء عليها أثناء عملية معالجة المخاطر/التخفيف من حدتها.

  • عملية تقييم المخاطر تتكون من 4 خطوات رئيسية :

الخطوة الأولى : تحديد الأصول وتصنيفها والغرض من هذه الخطوة هو تحديد وتصنيف الأصول/الخدمات ضمن النطاق عن طريق جمع معلومات البنية التحتية لضمان التقييم الشامل والفعال للأصول . يتم تطوير سجل الأصول/الخدمات الذي يحتوي على الأصول/الخدمات ضمن نطاق الإدارة المذكورة ومكوناتها ، مثل الأصناف التالية :

  1. أصول الأجهزة.
  2. أصول البرمجيات.
  3. العمليات التجارية.
  4. الموظفين والمتقاعدين .

الخطوة الثانية : تقييم الأصول/الخدمات والغرض من هذه الخطوة هو تحديد قيم الأصول وأهميتها مع مراعاة المتطلبات القانونية المحددة فضلاً عن التأثيرات على الأعمال التجارية ، والناجمة عن فقدان السرية (Confidentiality)،والثبات (Integrity) والتوافر (Availability). الخطوة الثالثة : تحديد التهديدات ونقاط الضعف والغرض من هذه الخطوة هو تحديد التهديدات وأوجه الضعف التي تؤثر على الأصول/الخدمات في نطاق الإطار المتفق عليه. الخطوة الرابعة : حساب/قياس قيمة المخاطر والغرض من هذه الخطوة هو قياس مستوى المخاطر التي تتعرض لها كل من الأصول/الخدمات ، يتم تحديد الضوابط المناسبة واختيارها للمخاطر غير المقبولة ، استناداً إلى منهجية إدارة مخاطر تقنية المعلومات. –  معالجة المخاطر

عمليه معالجة المخاطر أو التخفيف من حدتها تحدد الضوابط الأمنية ، وتعمل على تقليل المخاطر إلى مستوى مقبول بعد النظر في خطه العلاج/التخفيف.

تشمل معالجة المخاطر/التخفيف منها تحديد أولويات الضوابط المناسبة وتقييمها وتنفيذها استناداً إلى عملية تقييم المخاطر من خلال:

  • التخفيف من المخاطر: للحد من احتمال أو تأثير المخاطر من خلال تطبيق ضوابط أمن المعلومات.
  • نقل المخاطرلتمرير المخاطر إلى أطراف أخرى مثل التغطية التأمينية
  • تجنب المخاطرعدم المضي قدما في أي نشاط من المرجح أن يؤدي إلى المخاطرة.
  • قبول المخاطر: بتحمل المخاطر.
  1. متطلبات نظام إدارة أمن المعلومات

سيتم استعراض/تطوير الوثائق المطلوبة لهذا الغرض: الأدوار والمسؤوليات: الأدوار والمسؤوليات مهمة للمساعدة في إنشاء، وتطوير نطام إدارة أمن المعلومات ، تطوير نظام إدارة أمن المعلومات عن طريق إسناد الأدوار والمسؤوليات وإنشاء اللجنة التوجيهية للأمن المعلوماتي التي ستوجه فريق الأمن خلال مرحله التنفيذ.

  1. إنشاء سياسات وإجراءات أمن المعلومات

إن وضع سياسات وإجراءات أمن المعلومات ، هو أمر هام جداً في نجاح تنفيذ نظام إدارة أمن المعلومات. ويجب أن تشمل السياسات مجالات مختلفة مثل:

  • سياسة الاستخدام المقبول.
  • سياسة التحكم في الوصول.
  • سياسة إدارة الأصول.
  • سياسة استمرارية الأعمال.
  • سياسة أمن الاتصالات.
  • سياسة الالتزام.
  • سياسة التشفير.
  • سياسة أمن الموارد البشرية.
  • سياسات أمن المعلومات.
  • سياسة إدارة حوادث أمن المعلومات.
  • سياسة أمن العمليات.
  • سياسة الأمن المادي والبيئي.
  • سياسة العلاقات مع الموردين.
  • سياسة حيازة وتطوير وصيانة أنظمة المعلومات

إجراءات أمن المعلومات:

  • إجراءات إدارة الأصول
  • إجراءات إدارة المخاطر
  • إجراءات إدارة التغيير
  • إجراءات إدارة حوادث أمن المعلومات
  • إجراءات النسخ الاحتياطي والاستعادة
  • إجراءات إدارة وصول المستخدم
  • إجراءات المراجعة الإدارية
  • إجراءات مراقبه المستندات والسجلات
  • إجراءات أمن الموظفين
  1. التوعية (نقل المعرفة)

ستعقد ريناد المجد جلسات توعوية. والغرض منها:

  • تثقيف الإدارة والموظفين بشأن المبادئ الأمنية الأساسية.
  • استرعاء الانتباه إلى قضايا أمن المعلومات وزيادة فهمهم لأوجه الضعف والتهديدات التي تؤثر على أمن نظم المعلومات والمعلومات في المنظمة.
  1. التدقيق الداخلي

تجهيز المنظمة ودراسة استعدادها للبدء في عمليه الاعتماد من خلال: إعداد خطة التدقيق الداخلي

  • إجراء تدقيق داخلي
  • نقل المعرفة الى موظفي الإدارة وتدريبهم على التدقيق الداخلي
  • إعداد خطه العمل التصحيحية (CAP) للتخفيف من نتائج التدقيق الداخلي وسد الثغرات المحددة. خطة العمل التصحيحية ستصف بشكل واضح النشاط والمالك والجداول الزمنية لتنفيذ خطة العمل.  وكحد أدنى ، ستشمل:
  • وصف واضح لنقاط الضعف.
  • خطه عمل لحل هذا النقص.
  1. التدقيق الخارجي

حيث سنقوم بالتعاقد مع إحدى شركات المنح المعتمدة لمنح شهادة (Iso 27001:2022)  لمدة ثلاث سنوات

مكونات نظام إدارة أمن المعلومات (ISMS) حسب متطلبات المواصفة العالمية (ISO/IEC 27001:2022)

يوضح بند مجال التطبيق (ISMS) في معيار ISO/IEC 27001 الإطار الذي يحدد حدود نظام إدارة أمن المعلومات داخل المنظمة، وكيفية تطبيق متطلبات المعيار بما يتناسب مع طبيعة عملها وسياقها التنظيمي.

ويؤكد المعيار قابليته للتطبيق على مختلف أنواع الجهات، سواء كانت حكومية أو خاصة، كبيرة أو صغيرة، دون ارتباط بحجم المؤسسة أو مجال نشاطها. كما يوفّر للشركات الصغيرة والمتوسطة أدوات عملية ومنهجية تمكّنها من حماية معلوماتها الحساسة وإدارة المخاطر الأمنية بكفاءة.

ويساعد الحصول على شهادة ISO 27001 المعتمدة هذه المؤسسات على تعزيز ثقة العملاء والشركاء، وتحقيق ميزة تنافسية تمكّنها من الوقوف جنبًا إلى جنب مع الشركات الكبرى التي تمتلك إدارات متخصصة في أمن المعلومات والأمن السيبراني، مما يجعل نظام إدارة أمن المعلومات متاحًا وفعّالًا للجميع.

المراجع المعيارية: في هذا الفصل تتم الإشارة إلى معيار( ISO / IEC 27000) حيث يتم تقديم رؤية عامة لأنظمة إدارة أمن المعلومات (ISMS) ، حول منهجية (PDCA) الأساسية لجميع أنظمة الإدارة في اختلاف مع الإصدار السابق  يتطلب تحديد المراجع المعيارية ذات الصلة بنظام إدارة أمن المعلومات (ISMS).

 3- المصطلحات والتعاريف: من أجل الحصول على دليل واحد من المصطلحات والتعريفات المتسقة ، في إطار( ISO 27001 ) يتم وضع تعريفات للمفردات الأساسية التي تشير إلى أمان المعلومات التي سيتم استخدامها لاحقًا في متطلبات المعيار. في الإصدار الحالي تمت إضافة تعريفات جديدة لبعض المصطلحات، مثل “المخاطر السيبرانية” و “الامتثال”.

 4- سياق المنظمة: تعتبر معرفة المنظمة وسياقها مطلباً للبدء من أجل إنشاء نقطة مرجعية في تطبيق نظام إدارة أمن المعلومات، من خلال وضع أهداف لأمن المعلومات مع مراعاة أهداف العمل في المنظمة . ويجب أن تستند معرفة المنظمة إلى تعريف كل القضايا الخارجية والداخلية فيما يتعلق بأمن المعلومات والتي قد تساعد أو تضر بتحقيق أهداف المنظمة واستراتيجيتها العامة .

 5- القيادة : تشير المتطلبات المتعلقة بالقيادة إلى الالتزام الذي يجب على إدارة المنظمة ممارسته في عملية تنفيذ (ISMS) وفي مراجعة (ISO 27001: 2022) يتطلب ضمان دعم الإدارة العليا لنظام إدارة أمن المعلومات (ISMS)، ومشاركة أصحاب المصلحة في إدارة أمن المعلومات. 

6- التخطيط: بمجرد تحديد احتياجات وتوقعات الأطراف المهتمة كما هو موضح في البند الرابع من المواصفة  (سياق المنظمة )، يجب علينا وضع خطة لتحديد المخاطر التي يجب أن نتعامل معها والأنشطة التي يجب القيام بها للتخفيف من المخاطر المذكورة أو تجنبها. مكونات التخطيط :

  • تحديد احتياجات وتوقعات الأطراف المعنية.
  • تحليل المخاطر والفرص:
    • تحديد منهجية تحليل المخاطر.
    • تحديد أصول المعلومات في المنظمة .
    • تحليل المخاطر (تحديد التهديدات ونقاط الضعف في أمن المعلومات).
  • تقييم المخاطر (تحليل الأثر أو حساب المخاطر).
  • خطة معالجة المخاطر
    • معايير تخصيص المخاطر والعلاج.
    • اختيار التحكم.
    • بيان قابلية التطبيق (الضوابط المطلوبة وغير القابلة للتطبيق).
    • خطة إدارة المخاطر.

7-  الدعم: في هذا القسم ينص المعيار على تحديد الموارد اللازمة لتنفيذ الخطط التي تم وضعها في البند السادس التخطيط، مع الأخذ في الاعتبار دائمًا التزام الإدارة بتوفير الموارد اللازمة. من خلال:

  • إدارة الموارد.
  • كفاءة الموظفين ووعيهم.
  • التواصل والوعي لجميع أصحاب المصلحة ، بما في ذلك مقدمي الخدمات الخارجيين والموردين.
  • متطلبات التوثيق كدليل على الامتثال لمتطلبات المعيار(ISO/IEC27001).

8- العمليات : البند الذي يحتوي على إجراءات أمن المعلومات التي تم تحديدها في البنود السابقة على وجه التحديد

  • – سياق المنظمة (تحديد مصالح الأطراف)
  • التخطيط (خطة معالجة المخاطر)

في هذا البند سيتم توجيه المتطلبات إلى المراقبة والإشراف على خطط معالجة المخاطر ودمجها في العمليات.

9- تقييم الأداء: كجزء أساسي من أي نظام إدارة ، يجب علينا تقييم أداء الإجراءات المتخذة. من خلال :

  • عمليات تدقيق أمن المعلومات الداخلية.
  • عملية مراجعة الإدارة.
  • وضع مؤشرات أداء قياسية(Key Performance Indicators) لكل إجراءات أمن المعلومات .

10- التحسين: تحسين نظام إدارة أمن المعلومات من خلال التحديث المستمر لنظام الإدارة ويشمل المراجعة الدائمة لإيجاد فرص لتحسين الأداء من خلال معالجة حالات عدم المطابقة التي تم اكتشافها في التدقيق الداخلي، ومراجعة الإدارة، والتدقيق الخارجي من جهة المنح المعتمدة