تعد مسألة أمن المعلومات (المشار إليها فيما يلي بأمن المعلومات) للشركات اليوم واحدة من أكثر القضايا إلحاحًا في العالم. وهذا ليس مفاجئا، لأنه في العديد من البلدان هناك تشديد لمتطلبات المنظمات التي تقوم بتخزين البيانات الشخصية ومعالجتها. في الوقت الحالي، يتطلب التشريع الروسي الحفاظ على نسبة كبيرة من تدفق المستندات في شكل ورقي. وفي الوقت نفسه، فإن الاتجاه نحو الرقمنة ملحوظ: حيث تقوم العديد من الشركات بالفعل بتخزين كمية كبيرة من المعلومات السرية سواء في شكل رقمي أو في شكل مستندات ورقية.
وفقا للنتائج في مركز تحليل مكافحة البرامج الضارة، أشار 86% من المشاركين إلى أنهم اضطروا خلال العام مرة واحدة على الأقل إلى حل الحوادث بعد الهجمات السيبرانية أو نتيجة لانتهاكات المستخدم للوائح المعمول بها. وفي هذا الصدد، أصبح إعطاء الأولوية لأمن المعلومات في الأعمال التجارية ضرورة.
في الوقت الحالي، لا يعد أمن معلومات الشركات مجرد مجموعة من الوسائل التقنية، مثل برامج مكافحة الفيروسات أو جدران الحماية، بل هو بالفعل نهج متكامل للتعامل مع أصول الشركة بشكل عام والمعلومات بشكل خاص. تتعامل الشركات مع هذه المشكلات بشكل مختلف. اليوم نود أن نتحدث عن تطبيق المواصفة الدولية ISO 27001 كحل لمثل هذه المشكلة. بالنسبة للشركات في السوق الروسية، فإن وجود مثل هذه الشهادة يبسط التفاعل مع العملاء والشركاء الأجانب الذين لديهم متطلبات عالية في هذا الشأن. يستخدم ISO 27001 على نطاق واسع في الغرب ويغطي المتطلبات في مجال أمن المعلومات، والتي ينبغي أن تغطيها الحلول التقنية المستخدمة، كما تساهم في تطوير العمليات التجارية. وبالتالي، يمكن أن يصبح هذا المعيار ميزتك التنافسية ونقطة اتصال مع الشركات الأجنبية.
جمعت هذه الشهادة لنظام إدارة أمن المعلومات (المشار إليها فيما بعد باسم ISMS) أفضل الممارسات لتصميم نظام إدارة أمن المعلومات، والأهم من ذلك أنها وفرت إمكانية اختيار أدوات التحكم لضمان عمل النظام ومتطلبات الدعم الأمني التكنولوجي وحتى لعملية إدارة شؤون الموظفين في الشركة. بعد كل شيء، من الضروري أن نفهم أن الأعطال الفنية ليست سوى جزء من المشكلة. في مسائل أمن المعلومات، يلعب العامل البشري دورًا كبيرًا، ومن الصعب جدًا التخلص منه أو التقليل منه.
إذا كانت شركتك تتطلع إلى الحصول على شهادة ISO 27001، فربما تكون قد حاولت بالفعل العثور على الطريقة السهلة للقيام بذلك. علينا أن نخيب ظنك: لا توجد طرق سهلة هنا. ومع ذلك، هناك خطوات معينة من شأنها أن تساعد في إعداد المنظمة لمتطلبات أمن المعلومات الدولية:
1. الحصول على الدعم من الإدارة
قد تعتقد أن هذا أمر واضح، ولكن في الممارسة العملية غالبًا ما يتم التغاضي عن هذه النقطة. علاوة على ذلك، يعد هذا أحد الأسباب الرئيسية لفشل مشاريع تطبيق ISO 27001 في كثير من الأحيان. وبدون فهم أهمية مشروع التنفيذ القياسي، لن توفر الإدارة موارد بشرية كافية أو ميزانية كافية لإصدار الشهادات.
2. وضع خطة إعداد الشهادة
يعد التحضير للحصول على شهادة ISO 27001 مهمة معقدة تتضمن العديد من أنواع العمل المختلفة، وتتطلب مشاركة عدد كبير من الأشخاص ويمكن أن تستغرق عدة أشهر (أو حتى سنوات). لذلك، من المهم جدًا إنشاء خطة مفصلة للمشروع: تخصيص الموارد والوقت وإشراك الأشخاص في مهام محددة بدقة ومراقبة الالتزام بالمواعيد النهائية - وإلا فقد لا تنهي العمل أبدًا.
3. تحديد محيط الشهادة
إذا كانت لديك مؤسسة كبيرة ذات أنشطة متنوعة، فقد يكون من المنطقي اعتماد جزء فقط من أعمال الشركة وفقًا لمعيار ISO 27001، مما سيقلل بشكل كبير من مخاطر مشروعك، فضلاً عن وقته وتكلفته.
4. وضع سياسة أمن المعلومات
ومن أهم الوثائق سياسة أمن المعلومات الخاصة بالشركة. ويجب أن تعكس أهداف أمن المعلومات الخاصة بشركتك والمبادئ الأساسية لإدارة أمن المعلومات، والتي يجب أن يتبعها جميع الموظفين. الغرض من هذه الوثيقة هو تحديد ما تريد إدارة الشركة تحقيقه في مجال أمن المعلومات، وكذلك كيفية تنفيذ ذلك والسيطرة عليه.
5. تحديد منهجية تقييم المخاطر
من أصعب المهام تحديد قواعد تقييم المخاطر وإدارتها. من المهم أن نفهم المخاطر التي قد تعتبرها الشركة مقبولة والتي تتطلب اتخاذ إجراءات فورية للحد منها. بدون هذه القواعد، لن يعمل ISMS.
وفي الوقت نفسه، يجدر بنا أن نتذكر مدى كفاية التدابير المتخذة للحد من المخاطر. لكن لا يجب أن تبالغ في عملية التحسين، لأنها تتطلب أيضًا وقتًا طويلاً أو تكاليف مالية أو قد تكون مستحيلة. نوصي باستخدام مبدأ "الحد الأدنى من الاكتفاء" عند تطوير تدابير الحد من المخاطر.
6. إدارة المخاطر وفق منهجية معتمدة
المرحلة التالية هي التطبيق المتسق لمنهجية إدارة المخاطر، أي تقييمها ومعالجتها. ويجب تنفيذ هذه العملية بشكل منتظم وبعناية كبيرة. من خلال تحديث سجل مخاطر أمن المعلومات، ستتمكن من تخصيص موارد الشركة بشكل فعال ومنع الحوادث الخطيرة.
7. خطة معالجة المخاطر
يجب تضمين المخاطر التي تتجاوز المستوى المقبول لشركتك في خطة معالجة المخاطر. ويجب أن تسجل الإجراءات التي تهدف إلى الحد من المخاطر، وكذلك الأشخاص المسؤولين عنها والمواعيد النهائية.
8. أكمل بيان التطبيق
هذه وثيقة أساسية سيتم دراستها من قبل متخصصين من هيئة إصدار الشهادات أثناء عملية التدقيق. ويجب أن يصف ضوابط أمن المعلومات التي تنطبق على أنشطة شركتك.
9. تحديد كيفية قياس فعالية ضوابط أمن المعلومات.
يجب أن يكون لأي إجراء نتيجة تؤدي إلى تحقيق الأهداف المحددة. ولذلك، من المهم أن نحدد بوضوح ما هي المعايير التي سيتم قياس تحقيق الأهداف فيها لكل من نظام إدارة أمن المعلومات بأكمله ولكل آلية تحكم مختارة من ملحق قابلية التطبيق.
10. تنفيذ ضوابط أمن المعلومات
وفقط بعد إكمال جميع الخطوات السابقة يجب أن تبدأ في تنفيذ ضوابط أمن المعلومات المعمول بها من ملحق قابلية التطبيق. التحدي الأكبر هنا، بالطبع، هو تقديم طريقة جديدة تمامًا للقيام بالأشياء عبر العديد من عمليات مؤسستك. يميل الناس إلى مقاومة السياسات والإجراءات الجديدة، لذا انتبه إلى النقطة التالية.
11. تنفيذ البرامج التدريبية للموظفين
جميع النقاط الموضحة أعلاه ستكون بلا معنى إذا لم يفهم موظفوك أهمية المشروع ولم يتصرفوا وفقًا لسياسات أمن المعلومات. إذا كنت تريد أن يلتزم موظفوك بجميع القواعد الجديدة، فعليك أولاً أن تشرح للناس سبب ضرورتها، ثم توفير التدريب على نظام إدارة أمن المعلومات (ISMS)، مع تسليط الضوء على جميع السياسات المهمة التي يجب على الموظفين مراعاتها في عملهم اليومي. يعد نقص تدريب الموظفين سببًا شائعًا لفشل مشروع ISO 27001.
12. الحفاظ على عمليات ISMS
عند هذه النقطة، يصبح ISO 27001 روتينًا يوميًا في مؤسستك. لتأكيد تنفيذ ضوابط أمن المعلومات وفقًا للمعيار، سيحتاج المدققون إلى تقديم السجلات - دليل على التشغيل الفعلي للضوابط. ولكن الأهم من ذلك كله، هو أن السجلات يجب أن تساعدك على تتبع ما إذا كان موظفوك (وموردوك) يؤدون مهامهم وفقًا للقواعد المعتمدة.
13. مراقبة ISMS الخاص بك
ما الذي يحدث مع ISMS الخاص بك؟ كم عدد الحوادث لديكم، ما نوعها؟ هل يتم اتباع جميع الإجراءات بشكل صحيح؟ من خلال هذه الأسئلة، يجب عليك التحقق مما إذا كانت الشركة تحقق أهدافها المتعلقة بأمن المعلومات. إذا لم يكن الأمر كذلك، يجب عليك وضع خطة لتصحيح الوضع.
14. إجراء تدقيق داخلي لنظام إدارة أمن المعلومات (ISMS).
الغرض من التدقيق الداخلي هو تحديد أوجه عدم الاتساق بين العمليات الفعلية في الشركة وسياسات أمن المعلومات المعتمدة. في أغلب الأحيان، يتم التحقق لمعرفة مدى التزام موظفيك بالقواعد. هذه نقطة مهمة جدًا، لأنه إذا لم تتحكم في عمل موظفيك، فقد تتعرض المنظمة لأضرار (مقصودة أو غير مقصودة). لكن الهدف هنا ليس العثور على الجناة ومعاقبتهم على عدم الالتزام بالسياسات، بل تصحيح الأوضاع ومنع حدوث مشاكل مستقبلية.
15. تنظيم مراجعة الإدارة
لا ينبغي للإدارة تكوين جدار الحماية الخاص بك، ولكن يجب أن تعرف ما يحدث في نظام إدارة أمن المعلومات (ISMS): على سبيل المثال، ما إذا كان الجميع يفيون بمسؤولياتهم وما إذا كان نظام إدارة أمن المعلومات (ISMS) يحقق النتائج المستهدفة. وبناءً على ذلك، يجب على الإدارة اتخاذ قرارات رئيسية لتحسين نظام إدارة أمن المعلومات وعمليات الأعمال الداخلية.
16. إدخال نظام الإجراءات التصحيحية والوقائية
مثل أي معيار، يتطلب ISO 27001 "التحسين المستمر": التصحيح المنهجي ومنع التناقضات في نظام إدارة أمن المعلومات. ومن خلال الإجراءات التصحيحية والوقائية، يمكن تصحيح حالة عدم المطابقة ومنع تكرارها في المستقبل.
في الختام، أود أن أقول إن الحصول على الشهادة في الواقع أصعب بكثير مما هو موصوف في المصادر المختلفة. وهذا ما تؤكده حقيقة أنه لا يوجد سوى في روسيا اليوم وقد تم اعتمادها للامتثال. وفي الوقت نفسه، يعد هذا أحد المعايير الأكثر شيوعًا في الخارج، حيث يلبي المتطلبات المتزايدة للأعمال في مجال أمن المعلومات. ولا يرجع هذا الطلب على التنفيذ إلى نمو وتعقيد أنواع التهديدات فحسب، بل أيضًا إلى متطلبات التشريعات، فضلاً عن العملاء الذين يحتاجون إلى الحفاظ على السرية الكاملة لبياناتهم.
على الرغم من أن شهادة ISMS ليست مهمة سهلة، فإن مجرد تلبية متطلبات المعيار الدولي ISO/IEC 27001 يمكن أن يوفر ميزة تنافسية جدية في السوق العالمية. نأمل أن تكون مقالتنا قد قدمت فهمًا أوليًا للمراحل الرئيسية في إعداد الشركة للحصول على الشهادة.
المصدر: www.habr.com