دليلك الشامل حول معيار الآيزو 27001 ونظام ISMS

وقت القراءة 7 دقيقة

تعتبر المعلومات أحد أصول المؤسسة القيّمة والتي تُؤثّر بشكل مباشر على أدائها واستدامتها، لذلك تحرص المؤسسات على توفير الحماية الكافية للمعلومات من المخاطر الداخلية أو الخارجية وذلك من خلال توفير الأدوات والوسائل اللازمة.

معيار الآيزو 27001 يعتبر أحد تلك الأدوات الفعّالة لأمن المعلومات في المنظّمات.

إذا قررت مُنشأتك إطلاق مشروع تطبيق ISO 27001، فهناك بعض المعلومات التي لا غنى عنها والتي عليك الإلمام بها أولًا. ولذلك السبب أعددنا هذا الدليل الشامل المتكون من أهم الأسئلة الشائعة حول المعيار من أجل توضيح بعض الأمور والإجابة على أهم الاستفسارات التي قد يكون أصحاب الأعمال وصُنّاع القرار بحاجة لها.

 

ما هو معيار الآيزو 27001؟

بدايةً، من المهم ملاحظة أن الاسم الكامل لـ ISO 27001 هو “ISO / IEC 27001 – تقنية المعلومات – تقنيات الأمان – أنظمة إدارة أمن المعلومات – المتطلبات.”

إن معيار الآيزو 27001، الذي أنشأته المنظمة الدولية للمعايير (ISO) بالشراكة مع اللجنة الكهروتقنية الدولية (IEC)، عبارة عن معيار لأمن المعلومات يوفر متطلبات نظام إدارة المعلومات (ISMS). ويُعرِّف معيار ISO 27001 ماهية نظام (ISMS)، وما هو المطلوب إدراجه ضمن نظام إدارة أمن المعلومات، وكيف ينبغي للإدارة أن تعمل على تنفيذ ومراقبة وصيانة النظام.

ISO 27001 هو جزء من مجموعة المعايير المطوّرة للتعامل مع أمن المعلومات وتسمّى ب”سلسلة معايير ISO /IEC 27000″.

 

ما هو الغرض من معيار ISO 27001؟

تم تطوير معيار ISO 27001 لمساعدة جميع المؤسسات، بغض النظر عن حجمها أو مجال نشاطاتها، على حماية معلوماتها بطريقة منهجية وفعّالة، من خلال مساعدتها في تطبيق نظام إدارة أمن المعلومات (ISMS) قوي.

ومن الجدير بالذكر أنّ الآيزو 27001 هو إطار شامل يُستخدم لحماية جميع أنواع المعلومات، بما في ذلك بيانات الموظفين، والبيانات المالية، وبيانات العملاء، وشروط الملكية الفكرية للشركات، والمعلومات الموكلة إلى طرف ثالث.

الآيزو 27001 هو إطار شامل يُستخدم لحماية جميع أنواع معلومات المؤسسة

ما سبب أهمية شهادة الآيزو 27001؟

يُوفّر المعيار المعرفة والأدوات اللازمة للمُنشآت لمساعدتها على حماية معلوماتها، كما يمكن أيضًا أن تحصل المُنشأة على شهادة ISO 27001 معترف بها دوليًا، وبذلك، تثبت لعملائها وشُركائها أنها تحمي بياناتهم وفق أفضل الممارسات.

ونظرًا لأنّ معيار الآيزو 27001 معيار دوليّ، يُصبح من السهولة على المُنشأة إظهار امتثالها للمعيار في جميع أنحاء العالم، مما يزيد من فرص التعاقد مع المؤسسات الكبيرة والشركات العالمية.

 

ما هي أهداف معيار الآيزو 27001؟

الهدف الأساسي من ISO 27001 هو حماية المعلومات من ثلاثة جوانب:

  • السرية: يحق للأشخاص المصرح لهم فقط الوصول إلى المعلومات
  • النزاهة: يمكن للأشخاص المخوّلين فقط تغيير المعلومات
  • التوفر: يجب أن تكون المعلومات في متناول الأشخاص المصرح لهم كلما دعت الحاجة إليها

 

ما هو نظام إدارة أمن المعلومات – ISMS؟

نظام إدارة أمن المعلومات (ISMS) عبارة عن مجموعة من القواعد التي تحتاج الشركة إلى وضعها والتأكّد من تطبيقها من أجل:

  1. تحديد أصحاب المصلحة وتوقعاتهم من حيث أمن المعلومات في الشركة
  2. تحديد المخاطر التي تُهدّد معلومات الشركة
  3. تحديد الضوابط وطرق التخفيف لتلبية التوقعات المحددة والتعامل مع المخاطر
  4. وضع أهدافًا واضحة لما يجب تحقيقه بأمن المعلومات
  5. تنفيذ جميع الضوابط وطرق معالجة المخاطر الأخرى
  6. قياس ما إذا كانت الضوابط المنفذة تعمل كما هو متوقع منها
  7. إجراء تحسين مستمر لجعل نظام إدارة أمن المعلومات بأكمله يعمل بشكل أفضل

يمكن تدوين هذه المجموعة من القواعد في شكل سياسات وإجراءات وأنواع أخرى من المستندات في المنظّمة، أو يمكن أن تكون في شكل عمليات وتقنيات راسخة غير موثّقة. وبشكل عام، يُحدّد معيار الآيزو 27001 المستندات المطلوبة، كحد أدنى، لتطبيق نظام إدارة أمن المعلومات داخل أي منظّمة.

 

تحتاج جميع المُنشآت لنظام إدارة أمن المعلومات (ISMS)

 

لماذا تحتاج المُنشآت لنظام إدارة أمن المعلومات؟

لنظام الـ ISMS كثير من الفوائد، لكن هناك ثلاث فوائد أساسية تسعى المُنشآت إلى تحقيقها من خلال تطبيقه، وهي كالآتي:

  1. الامتثال للمتطلبات القانونية – هناك عدد متزايد من القوانين واللوائح والمتطلبات التعاقدية المتعلقة بأمن المعلومات التي يجب على المنظّمة الالتزام بها، ويمكن حل معظمها من خلال تطبيق معيار ISO 27001، إذ يمنحك هذا المعيار منهجية مثالية تمتثل لجميع القوانين واللوائح.
  2. اكتساب ميزة تنافسية – إذا حصلت مُنشأتك على شهادة الآيزو ولم يحصل عليها منافسيك، قد يكون لديك ميزة تنافسية تجذب بها العملاء الذين لديهم حساسية بشأن أمان معلوماتهم.
  3. انخفاض التكاليف – تتمثل الفلسفة الرئيسية لمعيار ISO 27001 في منع وقوع الحوادث الأمنية التي تُكلّف أموالًا طائلة. لذلك، ومن خلال منع وقوع تلك الحوادث، ستوفّر شركتك الكثير من المال. والخبر السار هنا أنّ تكاليف تطبيق والامتثال لـ ISO 27001 أقل بكثير من التكاليف المدفوعة في الإجراءات التصحيحية بعد وقوع الحوادث الأمنية.

 

كيف يعمل معيار ISO 27001؟

ينصب تركيز معيار ISO 27001 على حماية سرية وسلامة وتوافر المعلومات في المنظّمة، ويتم ذلك من خلال معرفة المشكلات المحتملة التي يمكن أن تحدث للمعلومات (بمعنى تقييم المخاطر)، ثم تحديد ما يجب القيام به لمنع حدوث مثل هذه المشكلات (أي التخفيف من المخاطر أو معالجة المخاطر).

لذلك، تستند الفلسفة الرئيسية لـمعيار الآيزو 27001 إلى عملية إدارة المخاطر، والتي يمكن تلخيصها بـ: اكتشاف مواقع المخاطر، ثم معالجتها بشكل منهجي، من خلال تنفيذ ضوابط الأمان المذكورة بالمعيار.

يتطلب معيار ISO 27001 من الشركة إدراج جميع الضوابط التي سيتم تنفيذها في مستند يسمى بيان قابلية التطبيق.

 

الآيزو 27001 دليلك الشامل حول معيار الآيزو 27001 ونظام ISMS مجموعة ريناد المجد لتقنية المعلومات RMG

ما هي متطلبات معيار ISO 27001؟

تتمثّل المتطلبات الإلزامية لمعيارـ ISO 27001 في البنود من 4 إلى 10، وهذا يعني أنه يجب تنفيذ جميع هذه المتطلبات في المُنشأة التي تُريد الامتثال للمعيار. كما يجب تنفيذ الضوابط الواردة في “الملحق أ” فقط إذا تم التصريح بأنها قابلة للتطبيق في بيان قابلية التطبيق.

يمكن تلخيص المتطلبات من الأقسام من 4 إلى 10 على النحو التالي:

البند 4: سياق المنظمة – يحدد متطلبات فهم القضايا الخارجية والداخلية، والأطراف المعنية ومتطلباتهم، وتحديد نطاق نظام ISMS.

البند 5: القيادة – تحدد مسؤوليات الإدارة العليا، وتعيين الأدوار والمسؤوليات، ومحتويات سياسة أمن المعلومات عالية المستوى.

البند 6: التخطيط – يحدد متطلبات تقييم المخاطر، ومعالجة المخاطر، وبيان قابلية التطبيق، وخطة معالجة المخاطر، وتحديد أهداف أمن المعلومات.

البند 7: الدعم – يحدد متطلبات توفر الموارد والكفاءات والوعي والاتصال والتحكم في المستندات والسجلات.

البند 8: التشغيل – يحدد آلية تنفيذ تقييم المخاطر ومعالجتها، وكذلك الضوابط والعمليات الأخرى اللازمة لتحقيق أهداف أمن المعلومات.

البند 9: تقييم الأداء – يحدد متطلبات المراقبة والقياس والتحليل والتقييم والتدقيق الداخلي ومراجعة الإدارة.

البند 10: التحسين – يحدد متطلبات القيام بعمليات عدم المطابقة والتصحيحات والإجراءات التصحيحية والتحسين المستمر.

 

ما هي ضوابط ISO 27001؟

ضوابط معيار الآيزو 27001 هي عبارة عن الممارسات التي يجب تنفيذها لتقليل المخاطر إلى مستويات مقبولة، ويمكن أن تكون تلك الضوابط: تقنية أو تنظيمية أو قانونية أو مادية أو بشرية، إلخ..

 

كيف تُطبّق ضوابط معيار ISO 27001؟

يتم تنفيذ الضوابط الفنية بشكل أساسي في أنظمة المعلومات، باستخدام مكونات البرامج والأجهزة والبرامج الثابتة المضافة إلى النظام. على سبيل المثال النسخ الاحتياطي وبرامج مكافحة الفيروسات وما إلى ذلك.

يتم تنفيذ الضوابط التنظيمية من خلال تحديد القواعد الواجب اتباعها والسلوك المتوقع من المستخدمين والمعدات والبرامج والأنظمة. على سبيل المثال، سياسة التحكم في الوصول، سياسة استخدام الأجهزة الشخصية في العمل “BYOD”، إلخ..

يتم تنفيذ الضوابط القانونية من خلال ضمان اتباع القواعد والسلوكيات المتوقعة وإنفاذ القوانين واللوائح والعقود وغيرها من الأدوات القانونية المماثلة التي يجب على المنظمة الامتثال لها. على سبيل المثال اتفاقية عدم الإفصاح (SLA)، اتفاقية مستوى الخدمة (NDA)، إلخ.

يتم تنفيذ الضوابط المادية بشكل أساسي باستخدام المعدات أو الأجهزة التي لها تفاعل مادي مع الأشخاص والأشياء. على سبيل المثال: كاميرات المراقبة، وأنظمة الإنذار، والأقفال، وما إلى ذلك.

يتم تنفيذ ضوابط الموارد البشرية من خلال توفير المعرفة والمهارات والخبرات اللازمة للأشخاص لتمكينهم من أداء أنشطتهم وأدوارهم في المُنشأة بطريقة آمنة. على سبيل المثال، إجراء تدريب توعوي أمني​​، أو تدريب المدقق الداخلي ISO 27001، إلخ..

 

الآيزو 27001 دليلك الشامل حول معيار الآيزو 27001 ونظام ISMS مجموعة ريناد المجد لتقنية المعلومات RMG

ما هي تكلفة تطبيق معيار ISO 27001؟

تعتمد تكاليف تنفيذ واعتماد نظام إدارة أمن المعلومات على حجم وتعقيد نطاق النظام، والذي يختلف من منظمة إلى أخرى، كما تعتمد التكلفة أيضًا على الأسعار المحلية للخدمات المختلفة التي ستستخدمها المنظّمة في عملية تطبيق المعيار والامتثال له.

وبشكل عام، هذه بعض التكاليف التي يجب أن تضعها في اعتبارك أثناء حساب وتخصيص ميزانية تطبيق المعيار:

  • برامج التدريب
  • الاستشارات الخارجية التي سوف تستعين بها لتطبيق متطلبات المعيار
  • التقنيات التي سيتم تحديثها/ تنفيذها
  • جهد ووقت الموظفين
  • تكلفة هيئة إصدار الشهادات

 

هل تطبيق معيار ISO 27001 إلزامي؟

في معظم البلدان، لا يعد تطبيق ISO 27001 إلزاميًا. ومع ذلك، فقد نشرت بعض البلدان لوائح تتطلب من بعض القطّاعات تطبيق معيار ISO 27001 لكي يُسمح لها باستمرار نشاطها داخل البلد.

ولتحديد ما إذا كان ISO 27001 إلزاميًا أم لا لشركتك، يجب عليك البحث عن استشارة متخصصة في البلد الذي تعمل فيه.

 

ما الفرق بين ISO 27001 و 27002؟

يحدد ISO 27001 متطلبات نظام إدارة أمن المعلومات (ISMS)، بينما يوفر ISO 27002 إرشادات حول تنفيذ الضوابط من ISO 27001 الملحق أ.

بمعنى آخر، يُوفّر معيار الآيزو 27001 وصفًا موجزًا ​​فقط للضوابط الواردة فيه، بينما يوفر معيار الآيزو 27002 إرشادات مفصلة حولها.

الآيزو 27001 دليلك الشامل حول معيار الآيزو 27001 ونظام ISMS مجموعة ريناد المجد لتقنية المعلومات RMG

سلسلة معايير ISO 27K

نظرًا لأنّ الآيزو 27001 يُحدد متطلبات نظام إدارة أمن المعلومات (ISMS)، فإنه يُعتبر المعيار الرئيسي في مجموعة معايير ISO 27000. ولكنه يُحدّد بشكل أساسي ما هو مطلوب لتطبيق النظام، ولا يحدد كيفية القيام تطبيق النظام وتفعيله داخل المنظّمة، ولذلك قد تم تطوير العديد من معايير أمان المعلومات الأخرى لتوفير إرشادات إضافية. ويوجد حاليًا أكثر من 40 معيارًا في سلسلة ISO27k، وأكثرها شيوعًا ما يلي:

  1. ISO/ IEC 27000 – يوفر المصطلحات والتعريفات المستخدمة في سلسلة معايير ISO 27k.
  2. معيار ISO / IEC 27002 – يوفر إرشادات وتفاصيل مهمّة لتنفيذ الضوابط المدرجة في “الملحق أ” لمعيار آيزو 27001.
  3. معيار ISO / IEC 27004 – يوفر إرشادات لقياس أمن المعلومات في المنظّمة، بالإضافة إلى كونه يشرح كيفية تحديد ما إذا كان نظام إدارة أمن المعلومات يُحقّق الأهداف المرجوة منه.
  4. معيار ISO / IEC 27005 – يوفر إرشادات لإدارة مخاطر أمن المعلومات، ويُعتبر مكمل جيد لمعيار الآيزو ـ 27001، لأنه يقدم تفاصيل حول كيفية إجراء تقييم المخاطر ومعالجة المخاطر، والتي ربما تكون أصعب مرحلة في التنفيذ.
  5. معيار ISO / IEC 27017 – يوفر إرشادات لأمن المعلومات في البيئات السحابية.
  6. معيار ISO / IEC 27018 – يوفر إرشادات لحماية الخصوصية في البيئات السحابية.
  7. ISO / IEC 27031 – هذا المعيار هو رابط كبير بين أمن المعلومات وممارسات استمرارية الأعمال.

 

ما هو الإصدار الحالي من ISO 27001؟

الإصدار الحالي من معيار الآيزو 27001 هو ISO / IEC 27001:2013.

تم إصدار الإصدار الأول من المعيار في عام 2005 تحت مُسمّى (ISO / IEC 27001:2005)، والإصدار الثاني في عام 2013، وتمت مراجعة المعيار آخر مرة في عام 2019، عندما تم تأكيد إصدار 2013، ولم تكن هناك حاجة إلى تحديث أو تغيير في المعيار حينذاك.

 

الخاتمة

ختامًا يمكننا القول بأن معيار آيزو/آي إي سي 27001 يُعتبر من أجدى المعايير التي تساعد المُنشآت على حماية معلوماتها وتأمينها، مما يُجنّبها المخاطر ويزيد من فرصها بالتعاقد مع عملاء وشُركاء مُميّزين.

ويساعد هذا المعيار على ضمان إدارة المخاطر الأمنية على نحو فعال من حيث التكلفة، بالإضافة إلى أنّ التزامك بتطبيقه يبعث على طمأنة زبائنك وشركائك بأن معلوماتهم محفوظة بشكل جيد. كما يلعب معيار الآيزو 27001 دورًا هامًا جدًا في رصد واستعراض وصيانة وتحسين نظام إدارة أمن المعلومات في المنظّمة.

تعليق واحد على “دليلك الشامل حول معيار الآيزو 27001 ونظام ISMS

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *