شهادة الامن والسلامة ISO 27001 PDF طباعة أرسل إلى صديق

 

شهادة الامن والسلامة ISO 27001

الISO 27001
عبارة عن معيار عالمي يعنى بحماية المعلومة له متطلبات معينة عند تلبيتها تحصل المنظمة على شهادة معتمدة تفيد بتطبيقها للمعايير الواردة على نطاق العمل الذي تم اختياره بمعنى أنه:
1-     يتم تقييم مدى التوافق مع المعايير ( ويحصل هذا دوريا مرتين خلال العام)
2-    بعد اجتياز التقييم تحصل المنظمة على شهادة معتمدة بموافقتها للمعيار 27001.
5.2    الISO 27002

عبارة عن أفضل الممارسات والتوجيهات في تطبيق ماورد في المعيار 27001 من ادوات تحكم تحمي المعلومات ( وهي الواردة في ملحق A في المعيار).  كما أنه:
1-    لا يقدم توجيهات حول طريقة تنفيذ المعيار 27001 وانما توجيهات حول كيفية تطبيق ادوات التحكم كما ورد في التعريف.
2-    لا يستخدم في التقييم بمعنى أنه لا يتم تقييم مدى تطبيق المنشأه ل 27002 من جهة خارجية.
3-    لا يتم اعطاء شهادة باجتيازه وذلك لأنه لا يتم تقييم مدى تطبيقه ( كما ورد في النقطة رقم 1).

6.    خطوات تطوير نظام أمن المعلومات بناء على المعيار العالمي والحصول على شهادة ال
ISO 27001
ينقسم تطوير نظام أمن المعلومات الى اربع مراحل مستمرة وهي التخطيط – التنفيذ- التأكد والمراجعة – التنفيذ وسنقوم بالتدريج بتطبيق هذه الخطوات بالتفصيل.
6.1     تكوين لجنة أمن المعلومات
وتعنى هذه اللجنة بـ:
•    تطوير السياسة العامة لأمن المعلومات واعتمادها.
•    تطوير أهداف أمن المعلومات والتأكد من توافقها مع أهداف المنشأه.
•    ادارة المصادر الخاصة بادارة نظام أمن المعلومات.
•    مراجعة نتائج تقارير تقييم المخاطر ومدى تأثيرها على العمل.
•    تطوير خطط معالجة المخاطر.
•    ادارة تنفيذ خطط معالجة المخاطر.
•    التأكد من تطور نظام ادارة أمن المعلومات في المنظمة.
•    التأكد من ان التعامل الأحداث الأمنية  (مثل الوقوع تحت هجمات الكترونية, انتشار الفيروسات,...)يتم بشكل جيد.
6.2    أعضاء اللجنة:
تحتاج اللجنة أن تدعم من الإدارة العليا بشكل مباشر وذلك لتفعيل نظام أمن المعلومات كما ينصح بان يترأسها المدير التنفيذي أو من ينوبه أو من يكون في مركز مساويه في القطاعات غير التجارية كما يجب أن تحتوي اللجنة على أعضاء أصحاب قرار في المنشأء ولهم علاقة مباشرة بإدارة المعلومات والأعمال ومثال ذلك: عضو من التشغيل, عضو من الشؤون الإدارية والمالية, عضو من ادارة شؤون الموظفين, عضو من ادارة الجودة, عضو من تقنية المعلومات, عضو من أمن المعلومات, عضو من ادارة المبنى, ونحوه ويعتمد ذلك على كل المنظمة والهيكل التنظيمي لها كما نشير الى ظرورة تعيين مدير لنظام أمن المعلومات ويكون احد أعضاء هذه اللجنة.
6.3    أختيار نطاق العمل والأهداف
يتم في هذه المرحلة تحديد النطاق الذي سيتم حصول الشهاده عليه على أن يكون اختيار النطاق بناء على أهداف وخدمات واعمال المنظمة. فمثلا قد ترغب ادارة تقنية المعلومات بالحصول على شهادة ال
ISO 27001 على مركز البيانات والذي يحتوي على الخوادم ونحوها والتي بدورها تحتوي على جميع معلومات المنظمة ( وهنا كان حماية المعلومات في النطاق يدعم حماية عمل المنظمة). ومن ما يميز هذا المعيار أنه يكفي لتحديد النطاق ان يكون حماية مصادر المعلومات في نطاق العمل يساعد في تحقيق أو دعم نطاق عمل المنظمة ولا يلزم الحصول على الشهادة على المنظمة ككل.

وقد يساعد تحديد أهداف المنظمة,خدماتها و معرفة الهيكل التنظيمي في اختيار النطاق. كما يجب الأخذ بالاعتبار الأنظمة المستخدمة, الجهات ذات العلاقة, ونحوها.

كما ننوه ان نطاق العمل لا يستلزم أن يكون يعمل ببيئة ألكترونية ( مأتمتة) بل الأهم من ذلك وجود معلومة يوفر حمايتها حماية لمصادر المنظمة ويدعم تحقيق أهداف المنظمة.

وللتوضيح بالمثال قد تقوم شركة مصنعة للسيارات باختيار أن يكون المعلومات المتمحورة حول التصاميم الجديدة لمنتجاتها هو نطاق الشهاده ونلاحظ ان هناك معلومة نحتاج لحمايتها ونعني مواصفات وتصاميم السيارات وأيضا حماية هذه المعلومة يدعم أهداف المنظمة.
6.4    كتابة السياسة
بعد تحديد النطاق يلزم كتابة السياسة العامة لأمن المعلومات في النطاق والتي تتضمن خطوط عريضة تضمن الالتزام بحماية المعلومات وتوضح التزام الإدارة العليا بامن المعلومات وقد يتم اعتمادها من أعلى جهة في المنظمة ( بناء على اعتمادها من لجنة أمن المعلومات).
6.5    تطوير منهج تقييم المخاطر
والذي سيتم اتباعه خلال تحليل وتقييم المخاطر لمصادر المعلومات في نطاق العمل. ويحتوي ذلك على خطوات توضح عملية تحديد وتحليل المخاطر بحيث يتم معرفة أصول المعلومات ( الكترونية, ورقية, ادوات او اجهزة وأشخاص ايضا ) , قيمة هذه الأصول, ومن ثم معرفة ماهي التهديدات والثغرات المحتملة ومدى تاثيرها على المعلومة سواء من ناحية التأثير على السرية او سلامة المعلومة ( تغييرها ونحوه) او تأثيرها على توفر المعلومة. ويعتبر فهم سير العمل في نطاق العمل من أفضل الوسائل لمعرفة ماهي الأصول ومعرفة مدى اهمية كل أصل.

كما نشير الى انه عند كتابة منهج تقييم المخاطر ينصح بان يأخذ بالإعتبار أن حماية المعلومة لا يتعدى قيمتها.

ومن هنا نحصل على المخاطر المحتملة على كل مصدر معلومات. ومن ثم يتم العمل على توفير الحماية اللازمة لأصول المعلومات وذلك باختيار طرق الحماية التي تتناسب مع طبيعة المنظمة وذلك باختيار طرق الحماية من قائمة يوفرها المعيار كملحق له (
Annex A). ولا يلزم اختيار جميع الطرق بل ما يلزم لحماية المعلومة واحتواء الخطر.

ويكون ناتج هذه المرحلة : تقرير تقييم وتحليل المخاطر, تقرير التعامل مع المخاطر وتقليلها بعد اختيار طرق الحماية اللازمة ويتضمن حساب المخاطر بعد تطبيق طرق الحماية للتأكد من مدى فاعليتها.

6.6    رابعا التعامل مع المخاطر
بناء على الخطوة السابقة وبعد اختيار طرق الحماية يتم كتابة وثيقة تحتوي على جميع المخاطر التي تم تحليلها وتقييمها وطرق التعامل معها والاخيار من قائمة طرق الحماية الواردة في
Annex A ويتم توضيح ماهي الطرق التي لم يتم استخدامها وتوضيح سبب ذلك ( ومن امثلة اسباب عدم التطبيق: اسباب مادية, بيئية, وقتية, تقنية, وغيرها). ويتم رفع هذه الوثيقة الى لجنة امن المعلومات لمراجعة ما جاء فيها واعتمادها والتوجيه بتطبيق ما ورد فيها.
6.7    خطة تنفيذ الضوابط الأمنية
بعد اعتماد الوثيقة السابقة يتم تطوير خطة تنفيذية لتطبيق ما ورد في المرحلة السابقة. وتحتوي الخطة على  خطر تم تحليله وتقييمه يتم تحديد طرق الحماية التي سيتم تنفيذها وتاريخ التنفيذ والمهام والمسؤوليات.

كما نشير الى أن طرق الحماية ليست بالضرورة ان تكون تقنية بل من الممكن ان تكون اجراءية,تنظيمية, أو تقنية.
6.8    التوعية الأمنية
يتم بعد ذلك عمل برنامج توعية أمنية للموظفي داخل نطاق العمل ( والذي تم تحديده في الخطوة اللأولى) وقد يشمل البرنامج على: عروض تقديمية توعوية, دورات تدريبية أو تعليم. ويحتوي البرنامج أيضا على توضيح لسياسات وإجراءات أمن المعلومات والتي تم تطويرها كجزء من المرحلة السابقة وتعريف الموظفين في نطاق العمل عن أي اجراءات جديدة والتاكد من توافق أعمالهم مع ما تمت كتابته في الاجراءات
6.9    اجراءات المراقبة والتطوير المستمر لنظام امن المعلومات
وتحتوي على :
•    مراجعة الأحداث الأمنية والعمل على معرفة السبب الرئيسي والتعامل معه.
•    مراجعة سياسة أمن المعلومات بشكل دوري والهدف من النظام. مراجعة تقارير تحليل وتقييم المخاطر ومستوى الخطر المقبول والمتبقي.
•    مراجعة ماتم تطبيقه من طرق الحماية التي تم اختيارها من ملحق المعيار (
Annex A).
•    مراجعة تقارير التدقيق الداخلي والخارجي.  رفع تقارير نتائج المراجعات للجنة امن المعلومات والمسؤول عن نظام أمن المعلومات لإستخدامها كمدخلات لتطوير النظام بشكل عام. بحيث قد يشمل التطوير على : تطوير الهيكل التنظيمي, تطوير التقنية, معرفة التهديدات المستقبليه وبناء الخطط الملائمة للتعامل معها, فهم الأنظمة والقوانين الجديدة المتعلقة بنطاق العمل أو بالمنظمة ككل والتي بدورها ستؤثر على نطاق العمل وأمن المعلومات.

6.10    المحافظة على نظام امن المعلومات وتطبيق التطوير المقترح
ويتم هنا تطبيق ما توصل اليه في الخطوة السابقة واتخاذ ما يلزم لتصحيح بعض الأخطاء والتي تم استخلاصها من الأحداث الأمنية والتقييم الداخلي والخارجي ومحاولة منع حدوثها بالمستقبل.

كما نشير الى ضرورة تفعيل التواصل وتبادل المعلومات فيما يخص المحافظه على أمن المعلومات مع جميع المشاركين في نطاق العمل.

6.11    التدقيق الداخلي
ويفضل أن يقوم بهذه المرحلة فريق مستقل عن الفريق الذي قام بتطوير نظام امن المعلومات. يقوم فريق التدقيق بمراجعة السياسات والاجراءات ويتاكد من تطبيقها على أرض الواقع.

7.    خطوات الحصول على الشهادة
عند اكتمال جميع الخطوات السابقة يتم مراسلة الجهات المخولة بعمل تقييم نظام امن المعلومات والمعتمدة من المنظمة العالمية
ISO . وعند الإتفاق تنقسم مرحلة تقييم نظام أمن المعلومات الى مرحلتين:
7.1    المرحلة الأولى  مراجعة ماتم عمله من وثائق ومتطلبات ومنها
1-    وثيقة توضح الهدف من نظام امن المعلومات وتوضح نطاق العمل.
2-    سياسة أمن المعلومات
3-    منهج تحليل وتقييم المخاطر
4-    تقارير تقييم المخاطر
5-    خطة تنفيذ تطبيق ما تم اختياره من ادوات
6-    اجراءات التعامل مع الأحداث الأمنية
7-    اجراءات الإكتشاف والتطوير
8-    تقارير التقييم الداخلي
9-    تعبئة نموذج التطابق مع المعيار (
Statement of Applicability) والذي يشتمل على قائمة بالمخاطر وماتم اختياره واستبعادة من ادوات التحكم بامن المعلومات والمذكورة في Annex A كما يتوجب توضيح اسباب استبعاد أي من ادوات التحكم

7.2    المرحلة الثانية زيارة الموقع ومراجعة نطاق العمل وتطبيقه على ارض الواقع
حيث يقوم المراجع بالتأكد من تطبيق ما ورد في ما تم تقديمه من وثائق في المرحلة الأولى وذلك بمقابلة الأشخاص المعنيين وزيارة ميدانية للمكاتب المشموله في النطاق ومراجعة ما ذكر في الوثائق ومدى تطبيقة ومن ثم يقوم بتقديم التقرير. ويحتوي التقرير على التوصيات التي يرى المراجع انها قد يؤدي الى تحسين اداء نظام أمن المعلومات ويحتوي على حالات عدم المطابقة وهي عبارة عن بعض متطلبات المعيار الأساسية والتي لم يتم اعدادها ( مثل منهجية تقييم المخاطر او اجراءات التصحيح والتقييم المستمر) اواجراءات مكتوبه لم يتم تطبيقها. كما نشير الى أن حالات عدم المطابقة تنقسم الى قسمين: حالات عدم مطابقة عالية الأهمية وهي أما متطلبات اساسية في المعيار لم يتم العمل عليها أو حالات عدم تطابق سابقة ( من تقارير سابقة) لم يتم العمل على حلها وهذه الحالات يتم حلها في فترة لا تزيد عن شهر من تاريخ رفع التقرير. والقسم الآخر هو حالات عدم التطابق المنخفضة الأهمية ويتطلب حلها مدة لا تزيد عن ستة أشهر ( أي قبل الزيارة التالية للمراجع).

وبعد تقديم التقرير للمنشأه يجب العمل على اجراءات تصحيحية وخطة للتنفيذ ويتم ارسالها للمراجع. وبعد مراجعتها يرفع المراجع تقريرا نهائيا لمنظمة ال
ISO بالموافقة على منح شهادة المطابقة للمعيار العالمي الISO 27001.

8.    الخطوط العريضة لمحتويات ملحق
A
8.1    سياسة أمن المعلومات
مجموعة من القوانين والمعايير التي تتم كتابتها واعتمادها ومن ثم تطبيقها لحماية المعلومات في نطاق العمل الذي تم اختياره. ومثال ذلك:

" تعتبر معلومات المنظمة أحد أصول المنظمة وتعد حمايتها امر أساسي لإستمرارية العمل. وتعد المحافظة على صحة وسرية وسلامة المعلومات أمورا حتمية لتحقيق أهداف المنظمة التنظيمية والقانونية والتعاقدية. وبناء عليه سيتم اتخاذ جميع ما يوفر الحماية اللازمة لهذه الأصول سواء من الإستخدام الغير مصرح به او التعديل او الكشف عنها سواء كانت المحاولات عرضيه أو متعمده.

يلتزم جميع الموظفين والمتعاقدين والأطراف العاملة داخل المنظمة بحماية المعلومات وتنفيذ سياسات وإجراءات أمن المعلومات."


8.2    تنظيم امن المعلومات
ويهدف الى التأكد من إدارة امن المعلومات في المنظمة وتوضيح المهام والمسؤوليات ذات العلاقة سواء داخل المنظمة من ادارات أو خارجها من جهات تتعامل معهما.  ويعتبر وجود تنظيم واضح لأمن المعلومات في المنظمة مؤشر هام للإلتزام في حماية المعلومات وهو أحد متطلبات المعيار العالمي. ويعد وجود لجنة أمن المعلومات أحد مؤشرات تنظيم أمن المعلومات.
8.3    إدارة الأصول
يعرف الأصل على أنه أي شي له قيمة للمنظمة وتهدف ادارة الأصول الى  توفير حماية تتناسب وأهمية الأصول بحيث يتم أولا معرفة وتحديد جميع الأصول المادية( من أجهزة وخوادم وقواعد بيانات وأعوامل بشرية وحوها)  اوالغير مادية مثل سمعة المنظمة ومعرفة مدى قيمة هذه الأصول ويتم بعد ذلك التخطيط لحمايتها وتوفير الحلول المناسبة.

8.4    أمن الموارد البشرية ( الموظفين, المتعاقدين, ونحوهم)
ويعنى به تحديد المسؤوليات والمهام للموظفين والمتعاقدين ونوحهم والإعتناء باختيارهم بما يتوافق مع المعلومات التي سيتعامل معها كل فرد بناء على سياسات أمن المعلومات. ومثال ذلك انه عند الحاجة لتوظيف مدير قواعد بيانات على سبيل المثال ( وبناء على ان قواعد البيانات للمنظمة تحتوي على جميع المعلومات الحساسة) يجب أن يتم اولا الإختيار بعناية ويتم بعد ذلك عمل التحقق من خلو سجله العملي من أي سوابق غير متلائمه مع الوظيفة التي سيعمل عليها وعند التوظيف يتم تعريفه بالمهام والمسؤوليات وتوقيعه ( كأي موظف) على وثيقة عدم إفشاء المعلومات والمحافظه عليها.

بمعنى أن المعيار يعنى بعملية ادارة الموظفين كعملية متكاملة ابتداء من اختيار الموظف, قبل التوظيف,عند التوظيف, خلال التوظيف وممارسة الوظيفة ومن ثم عند انهاء الخدمة.
ويتم خلال التوظيف العناية برفع مستوى الوعي الأمني للموظفين عن طريق تقديم الدورات التدريبية والتوعوية.

ويعني الإهتمام بانهاء الخدمة أن يتم أولا التأكد من انهاء جميع الإجراءات بالشكل المناسب مثل التأكد من ايقاف جميع حسابات المستخدم الذي انهى خدماته مباشرة واسترجاع جميع ما لدية من أصول.

8.5    الأمن المادي والبيئة المحيطة بالمعلومات
وهو حماية موارد واصول المنظمة من الوصول والعبث بها وذلك بتوفير أدوات حماية مناسبة للمباني ومركز البيانات ( الذي يحتوي على الأجهزة والخوادم) والمكاتب والأجهزة. كما يجب أن ناخذ بالاعتبار هنا المخاطر الطبيعية مثل الأمطار والعواصف ونحوها.

ومن أدوات الحماية توفير سياسات واجراءات للدخول الى المبنى والدخول الى مركز البيانات ونقل وتحميل الأجهزة من مكان الى آخر سواء داخل المبنى او خارجة.س

8.6    إدارة الإتصالات والتشغيل
وتعنى هذه النقطة بإدارة الإتصالات وتشغيل تقنية المعلومات وأن يراعى هنا المحافظه على سرية المعلومات وتوفرها عند الحاجة والمحافظه على سلامة محتواها من التغيير الغير مصرح به. بحيث يتم تطوير اجراءت تشغيلية للتعامل مع تقنية المعلومات وخصوصا ما يتعلق بنطاق العمل الذي تم تحديدة. والعناية بتوزيع المهام بشكل مناسب يوفر الحماية المطلوبة ويمنع التغيير الغير مصرح به أو العبث بأصول المنظمة ومثال ذلك أن يتم الفصل بين بيئة التطوير للبرامج وبيئة اختبارها والبيئة التشغيلية. ومثل ذلك فصل مهام تشغيل الشبكة عن مهام مراقبة أمن المعلومات.

كما يجب الإعتناء هنا بتوفر حماية المعلومات والتي يتم الوصول اليها من جهات خارجية وذلك بتوقيع اتفاقيات توضح المهام والمسؤوليات ومستوى الخدمة المطلوبة والعواقب المترتبة على الإخلال بذلك والطريقة الملائمة لتناقلها.

وأيضا يتم هنا مراقبة  وتحسين مستوى الإستفادة لمصادر المعلومات ودراسة و وتخطيط الزيادة المتوقعه.

و تطوير اجراءات مراقبة البرامج الضارة ( مثل الفيروسات) ومنع استخدامها  واستخدام الحلول التي تساعد في ذلك.

و تطوير اجراءات اخذ النسخ الإحتياطية واختبارها وتخزينها في مكان ملائم مثل تخزينها في موقع اخر ليتم استردادها عند الحاجة.

ادارة الشبكة بطريقة آمنة: وذلك ببناء هيكلية آمنة للشبكة تحمي المعلومات المتناقلة بها والتطبيقات والأنظمة المترابطة عن طريقها و تسمح لإدارتها بشكل آمن واستخدام أنظمة آمنة للدخول الى الشبكة ومراقبتها بشكل مستمر والحفاظ على سجلات الدخول والإستعمال (
logs) للرجوع اليها عند الحاجة.
8.7    التحكم بالوصول الى المعلومات
يتم هنا تعريف المستخدمين والموارد ( من معلومات وأنظمة وتطبيقات وموارد شبكية ونحوها) وطريقة الوصول اليها والصلاحيات المخولة لكل مستخدم بناء على مبدأ المعرفة قدر الحاجة وتوزيع وفصل المهام. كما يجب العناية بالمراجعة الدورية للصلاحيات ومدى الحاجة لها.
8.8    التطويروالصيانة لأنظمة المعلومات
يعنى المعيار بأهمية توضيح متطلبات الأنظمة من النواحي الأمنية والتأكد من معالجة المعلومات بطريقة تتناسب واهميتها وسريتها وتحافظ على ملفات النظام.
8.9    إدارة الأحداث الأمنية
يتم هنا تعريف السياسات والإجراءات الخاصة بالتعامل مع الأحداث الأمنية وطريقة احتواءها ومنع او التقليل من تأثيرها على المعلومات وسير العمل ودراسة مسبباتها لتجنبها في المستقبل.
8.10    أستمرارية الأعمال
يتم هنا تطوير الخطط الكفيلة بضمان استمرارية العمل حتى في حال حصول بعض المشاكل التقنية ( مثل عطل في أحد الخوادم , انطفاء الكهرباء,تعطل أحد الموجهات أو حتى تغيب أحد الموظفين ) واختبارها دوريا وتحسينها بما يتلائمم ومتطلبات المنشأه.
8.11    التطبيق والتوافق مع المتطلبات القانونية والتشريعية
يعنى المعيار هنا بالتأكد من ان المنشاة مطبقة لجميع المتطلبات والتشريعات القانونية والتشريعية والمتعلقة بأمن المعلومات ومثال ذلك نظام مكافحة الجرائم الإلكترونية.


9.    الخلاصة
يعتبر المعيار العالمي ال
ISO 27001 من المعايير العالمية المتميزة ان لم يكن الوحيد المعتمد والذي يتميز بمرونته بحيث يتوافق مع جميع المنظمات حكومية كانت أو خاصة بحيث تقوم المنشأه بدراسة المخاطر المتعلقة بمعلوماتها وفهمها ومن ثم بناء نظام امن معلومات متكامل يقلل المخاطر وقابل للتطوير بناء على منهجية واضحة وموثقة.

 

 

 
ما رأيكم بموقع بيت الخبرة الدولي للتطوير الإداري
 


جميع الحقوق محفوظة لـ بيت الخبرة الدولي
بروماكس لكافة خدمات المواقع الالكترونية
www.s9s8.com