في عالم البيانات المُسلَّعة لدينا ، يجب أن تكون معايير الأمن السيبراني عالية جدًا وحادة للغاية. معظم الشركات ، حتى لو لم تكن ذات صلة بالتكنولوجيا على الفور ، ستواجه في النهاية الحاجة إلى التمزّق من الداخل.

منذ أكثر من عقد من الزمان ، اعتمدت المنظمة الدولية للمعايير مواصفات تسمى ISO 27001. فما هو بالضبط؟ ما الذي يمكن أن يخبرنا به تدقيق ISO 27001 عن المكائد الداخلية للمؤسسة؟ وكيف تقرر ما إذا كان يجب تدقيق شركتك؟

ما هو نظام إدارة أمن المعلومات (ISMS)؟

نظام إدارة أمن المعلومات (ISMS) هو خط الدفاع الرئيسي للمؤسسة ضد خروقات البيانات وأنواع أخرى من التهديدات الإلكترونية من الخارج.

يضمن نظام ISMS الفعال أن تظل المعلومات المحمية سرية وآمنة ، ومخلصة للمصدر ، ومتاحة للأشخاص الذين لديهم تصريح للعمل معها.

الخطأ الشائع هو افتراض أن ISMS لا تزيد عن جدار ناري أو وسائل تقنية أخرى للحماية. بدلاً من ذلك ، فإن ISMS متكامل تمامًا موجود تمامًا في ثقافة الشركة وفي كل موظف أو مهندس أو غير ذلك. يذهب إلى ما هو أبعد من قسم تكنولوجيا المعلومات.

أكثر من مجرد سياسة وإجراءات رسمية ، يشمل نطاق هذا النظام أيضًا قدرة الفريق على إدارة النظام وتحسينه. التنفيذ والطريقة التي يتم بها تطبيق البروتوكول فعليًا لهما أهمية قصوى.

instagram viewer

وهذا ينطوي على اتخاذ نهج طويل الأجل لإدارة المخاطر والتخفيف من حدتها. يجب أن يكون مديرو الشركة على دراية وثيقة بأي مخاطر مرتبطة بالصناعة التي يعملون فيها على وجه التحديد. مسلحين بهذه البصيرة ، سيكونون قادرين على بناء الجدران حول أنفسهم وفقًا لذلك.

ما هو ISO 27001 بالضبط؟

في عام 2005 ، المنظمة الدولية للتوحيد القياسي (ISO) والمنظمة الكهروتقنية الدولية قامت اللجنة (IEC) بتجديد BS 7799 ، وهو معيار إدارة الأمن الذي وضعته مجموعة BSI Group لأول مرة لمدة 10 سنوات سابقا.

يُعرف الآن رسميًا باسم ISO / IEC 27001: 2005 ، ISO 27001 هو معيار دولي للامتثال يُمنح للشركات التي تعتبر نموذجًا يحتذى به في إدارة أمن المعلومات.

في الأساس ، إنها مجموعة صارمة من المعايير التي يمكن منع نظام إدارة أمن معلومات الشركة ضدها. يسمح إطار العمل هذا للمدققين بتقييم ثبات النظام ككل. قد تختار الشركات إجراء تدقيق عندما تريد طمأنة عملائها وعملائها بأن بياناتهم آمنة داخل جدرانها.

تشتمل هذه المجموعة من الأحكام على: المواصفات المتعلقة بسياسة الأمان ، والأصل التصنيف والأمن البيئي وإدارة الشبكة وصيانة النظام واستمرارية الأعمال تخطيط.

قام ISO بتكثيف كل هذه الجوانب من ميثاق BSI الأصلي ، ودمجها في الإصدار الذي نعرفه اليوم.

التعمق في السياسة

ما الذي يتم تقييمه بالضبط عندما تخضع الشركة لتدقيق ISO 27001؟

الهدف من هذا المعيار هو إضفاء الطابع الرسمي على سياسة المعلومات الفعالة والآمنة دوليًا. إنه يحفز الموقف الاستباقي ، الذي يسعى إلى تجنب المتاعب قبل حدوثها.

تؤكد ISO على ثلاثة جوانب مهمة لنظام ISMS الآمن:

1. التحليل المستمر والاعتراف بالمخاطر: يشمل ذلك كلا من المخاطر والمخاطر الحالية التي قد تظهر في المستقبل.

2. نظام قوي وآمن: وهذا يشمل النظام كما هو موجود من الناحية الفنية وكذلك أي ضوابط أمنية تستخدمها المنظمة لحماية نفسها من المخاطر المذكورة أعلاه. سيبدو هذا مختلفًا تمامًا ، اعتمادًا على الشركة والصناعة.

3. فريق مخلص من القادة: سيكون هؤلاء هم الأشخاص الذين يضعون ضوابط فعلية للعمل دفاعًا عن المنظمة. النظام فعال فقط مثل أولئك الذين يعملون على دفة القيادة.

يساعد تحليل هذه العوامل الرئيسية الثلاثة المساهمة المدقق في رسم صورة أكثر اكتمالاً لقدرة شركة معينة على العمل بأمان. يتم تفضيل الاستدامة على نظام ISMS الذي يعتمد فقط على القوة التقنية الغاشمة.

متعلق ب: كيفية حماية الموظفين من سرقة بيانات الشركة عند مغادرتهم

هناك عنصر بشري مهم يجب أن يكون موجودًا. الطريقة التي يمارس بها الأشخاص داخل الشركة السيطرة على بياناتهم ونظام إدارة أمن المعلومات الخاصة بهم يتم الاحتفاظ بها قبل كل شيء. هذه الضوابط هي التي تحافظ على أمان البيانات.

ما هو الملحق أ من ISO 27001؟

تعتمد أمثلة محددة من "الضوابط" على الصناعة. يقدم الملحق أ من ISO 27001 للشركات 114 وسيلة معترف بها رسميًا للتحكم في أمن عملياتها.

تندرج هذه الضوابط في واحد من أربعة عشر تصنيفًا:

أ -5.سياسات المعلومات والأمن: السياسات والإجراءات المؤسسية التي تتبعها الشركة.

أ -6تنظيم أمن المعلومات: تحديد المسؤولية داخل المنظمة فيما يتعلق بإطار عمل ISMS وتنفيذه. تم تضمينه هنا ، بشكل غريب ، السياسة التي تحكم العمل عن بعد و استخدام الأجهزة داخل الشركة.

أ -7أمن الموارد البشرية: المخاوف المتعلقة بالتأهيل ، وإلحاق الموظفين بالخارج ، وتغيير أدوار الموظفين داخل المنظمة. معايير الفرز وأفضل الممارسات في التعليم والتدريب موضحة هنا أيضًا.

أ -8إدارة الأصول: يتضمن البيانات التي يتم التعامل معها. يجب جرد الأصول والحفاظ عليها والحفاظ عليها خاصة ، حتى عبر خطوط الإدارات في بعض الحالات. يجب إثبات ملكية كل أصل بوضوح ؛ يوصي هذا البند بأن تقوم الشركات بصياغة "سياسة استخدام مقبول" خاصة بمجال عملها.

أ -9صلاحية التحكم صلاحية الدخول: من يُسمح له بمعالجة بياناتك ، وكيف ستحد من الوصول إلى الموظفين المصرح لهم فقط؟ يمكن أن يشمل ذلك إعداد الإذن المشروط بالمعنى التقني أو الوصول إلى المباني المقفلة في حرم شركتك.

أ -10التشفير: يتعامل بشكل أساسي مع التشفير والطرق الأخرى لحماية البيانات أثناء النقل. يجب أن تدار هذه التدابير الوقائية بنشاط ؛ لا تشجع ISO المؤسسات على اعتبار التشفير حلاً واحدًا يناسب الجميع لجميع التحديات شديدة الدقة المرتبطة بأمن البيانات.

أ -11الأمن المادي والبيئي: يقيم الأمن المادي في أي مكان توجد به بيانات حساسة ، سواء في مبنى مكتبي فعلي أو في غرفة صغيرة مكيفة ومليئة بالخوادم.

أ .12 -أمن العمليات: ما هي القواعد الأمنية الداخلية الخاصة بك عندما يتعلق الأمر بتشغيل شركتك؟ يجب الحفاظ على الوثائق التي تشرح هذه الإجراءات ومراجعتها بشكل متكرر لتلبية احتياجات العمل الجديدة والناشئة.

تندرج إدارة التغيير وإدارة القدرات والفصل بين الإدارات المختلفة تحت هذا العنوان.

أ .13إدارة أمن الشبكة: يجب أن تكون الشبكات التي تربط كل نظام داخل شركتك محكمة الإغلاق وأن يتم الاعتناء بها بعناية.

تصبح الحلول الشاملة ، مثل جدران الحماية ، أكثر فاعلية عند استكمالها بأشياء مثل نقاط التفتيش المتكررة للتحقق ، أو سياسات النقل الرسمية ، أو منع استخدام الشبكات العامة أثناء التعامل مع بيانات شركتك ، على سبيل المثال.

أ 14 -اكتساب النظام وتطويره وصيانته: إذا لم يكن لدى شركتك بالفعل ISMS ، فإن هذا البند يشرح ما يقدمه النظام المثالي إلى الطاولة. يساعدك على التأكد من أن نطاق ISMS يغطي كل جانب من جوانب دورة حياة الإنتاج الخاصة بك.

توفر السياسة الداخلية للتطوير الآمن للمهندسين السياق الذي يحتاجون إليه لبناء منتج متوافق من اليوم الذي يبدأ فيه عملهم.

أ - 15سياسة أمان المورد: عند التعامل مع مورّدين من جهات خارجية خارج شركتك ، ما هي الاحتياطات التي يتم اتخاذها لمنع تسرب أو خرق البيانات التي تمت مشاركتها معهم؟

أ .16 -إدارة حوادث أمن المعلومات: عندما تسوء الأمور ، من المحتمل أن توفر شركتك بعض إطار العمل لكيفية الإبلاغ عن المشكلة ومعالجتها ومنعها في المستقبل.

تبحث ISO عن أنظمة انتقامية تمكن شخصيات السلطة داخل الشركة من التصرف بسرعة وتحيز كبير بعد اكتشاف تهديد.

أ 17-جوانب أمن المعلومات في إدارة استمرارية الأعمال: في حالة وقوع كارثة أو أي حادث آخر غير مرجح يعطل عملياتك بشكل لا رجعة فيه ، خطة يجب أن تكون في مكانها الصحيح للحفاظ على رفاهية الشركة وبياناتها حتى يتم استئناف العمل على هذا النحو عادي.

الفكرة هي أن المنظمة تحتاج إلى طريقة ما للحفاظ على استمرارية الأمن خلال أوقات كهذه.

م 18 -الالتزام: أخيرًا ، نصل إلى العقد الفعلي للاتفاقيات التي يجب على الشركة الاشتراك فيها من أجل تلبية متطلبات شهادة ISO 27001. يتم وضع التزاماتك أمامك. كل ما تبقى لك أن تفعله هو التوقيع على الخط المنقط.

لم تعد ISO تتطلب أن تستخدم الشركات المتوافقة ضوابط فقط تتناسب مع الفئات المذكورة أعلاه. تعد القائمة مكانًا رائعًا للبدء إذا كنت قد بدأت للتو في وضع أساس ISMS لشركتك.

متعلق ب: كيفية تحسين اليقظة من خلال ممارسات الأمان الجيدة

هل يجب تدقيق شركتي؟

هذا يعتمد على. إذا كنت شركة ناشئة صغيرة جدًا تعمل في مجال غير حساس أو شديد الخطورة ، فمن المحتمل أن تتمكن من التأجيل حتى تصبح خططك للمستقبل أكثر تأكيدًا.

في وقت لاحق ، مع نمو فريقك ، يمكنك أن تجد نفسك في إحدى الفئات التالية:

  • ربما تعمل مع عميل مهم يطلب تقييم شركتك للتأكد من أنها ستكون بأمان معك.
  • قد ترغب في الانتقال إلى الاكتتاب العام في المستقبل.
  • لقد وقعت بالفعل ضحية لخرق وتحتاج إلى إعادة التفكير في الطريقة التي تدير بها بيانات شركتك وتحميها.

قد لا يكون التنبؤ بالمستقبل سهلاً دائمًا. حتى إذا كنت لا ترى نفسك في أي من السيناريوهات المذكورة أعلاه ، فلا يضر أن تكون استباقيًا وأن تبدأ في دمج بعض ممارسات ISO الموصى بها في نظامك.

القوة في يديك

يعد إعداد ISMS الخاص بك للمراجعة أمرًا بسيطًا مثل بذل العناية الواجبة ، حتى أثناء عملك اليوم. يجب دائمًا الحفاظ على الوثائق وأرشفتها ، مما يمنحك الدليل على أنك ستحتاج إلى دعم ادعاءاتك بالكفاءة.

إنها تمامًا كما في المدرسة الإعدادية: تقوم بالواجب المنزلي وتحصل على الدرجة. العملاء بأمان وبصحة جيدة ، ورئيسك سعيد جدًا بك. هذه عادات بسيطة للتعلم والاحتفاظ بها. ستشكر نفسك لاحقًا عندما يتصل أخيرًا الرجل صاحب الحافظة.

بريد إلكتروني
أفضل 4 اتجاهات للأمن السيبراني يجب الانتباه لها في عام 2021 وما بعده

في ما يلي الهجمات الإلكترونية التي يتعين عليك مراقبتها في عام 2021 ، وكيف يمكنك تجنب الوقوع ضحية لها.

اقرأ التالي

مواضيع ذات صلة
  • حماية
  • حماية الحاسوب
  • أمن البيانات
عن المؤلف
إيما جاروفالو (31 مقالة منشورة)

إيما جاروفالو كاتبة تقيم حاليًا في بيتسبرغ بولاية بنسلفانيا. عندما لا تكدح بعيدًا على مكتبها في حاجة إلى غد أفضل ، يمكن عادة العثور عليها خلف الكاميرا أو في المطبخ.

المزيد من Emma Garofalo

اشترك في نشرتنا الإخبارية

انضم إلى النشرة الإخبارية لدينا للحصول على نصائح تقنية ومراجعات وكتب إلكترونية مجانية وصفقات حصرية!

خطوة أخرى أيضا…!

يرجى تأكيد عنوان بريدك الإلكتروني في البريد الإلكتروني الذي أرسلناه لك للتو.

.