ما هي البيانات والمعلومات؟

أولاً ، دعونا نلقي نظرة على المفاهيم الأساسية للمعلومات. في أبسط مصطلحاتها ، تسمى البيانات الخام الخام البيانات. شكل معالج البيانات هو المعلومات. تعبير البيانات أو البيانات هو قيمة رقمية ومنطقية.

الخصائص الرئيسية للمعلومات التي يجب حمايتها هي:

• سرية المعلومات: يطلق على سرية المعلومات التي يتعذر الوصول إليها وغير المبررة من قبل الأشخاص والمؤسسات والكيانات والعمليات غير المصرح بها.
• سلامة المعرفة: تشير إلى الحفاظ على دقة ونزاهة وصفات فريدة من نوعها.
• إمكانية الوصول إلى المعلومات: إنها ميزة أنه لا يمكن الوصول إلى المعلومات واستخدامها إلا في أي وقت من قبل أشخاص مفوضين.

يمكن تصنيف المعلومات بطرق مختلفة. ومع ذلك ، من الممكن بشكل أساسي التصنيف على النحو التالي:

• المعلومات السرية مهمة للأعمال. يمكن لأعضاء فريق الإدارة فقط الوصول إلى هذه المعلومات. الوصول إلى مثل هذه المعلومات واستخدامها ومشاركتها من قبل أشخاص غير مصرح لهم غير مريح للمؤسسة. باختصار ، من الضروري الحفاظ على سرية هذه المعلومات.
• المعلومات المتاحة داخل المؤسسة هي معلومات خاصة لا يمكن الوصول إليها إلا للموظفين المعنيين. المعلومات التي لا ينبغي على الموظفين الآخرين والأطراف الثالثة بخلاف موظفي الوحدة الوصول إليها ورؤيتها. من الضروري الحفاظ على سرية هذه المعلومات.
• المعلومات الشخصية هي المعلومات الشخصية للموظفين. يتم تغطية الدراسات الشخصية المتعلقة بأنشطة الأعمال فقط. حفظ وتخزين المعلومات الشخصية غير ذات الصلة بالمهمة غير صحيح. من الضروري أن المعلومات الشخصية يمكن الوصول إليها.
• المعلومات المتاحة للشركة هي لاستخدام الموظفين فقط. النزاهة وسهولة الوصول ضرورية لمثل هذه المعلومات. المعلومات المشتركة بين الوحدات تقع في هذه الفئة.

ما هو نظام إدارة أمن المعلومات ISO / IEC 27001؟

من أجل ضمان أمن جميع أنواع المعلومات ، تم نشر معيار نظام إدارة أمن المعلومات ISO / IEC 2005 من قبل منظمة المعايير الدولية (ISO) واللجنة الكهرتقنية الدولية (IEC).

في الواقع ، يشكل تاريخ هذا المعيار الجزء الأول من معيار BS 1995 الذي نشره المعهد البريطاني للمعايير في 7799 والجزء الثاني المنشور في 1998. تمت مراجعة هذه المعايير معًا في 1999. بحلول عام 2000 ، تم نشر معيار ISO / IEC 17799. في 2002 ، تم تحديث معيار BS 7799-2 وبواسطة 2005 ، تم إصدار المعايير التالية من قبل منظمة المعايير الدولية:

• ISO 7799: 2 قياسي بدلاً من BS 27001-2005
• ISO 17799: معيار 2000 بدلاً من معيار ISO 27002: 2005

تم مراجعة هذين المعيارين مؤخرًا في 2013.

تم نشر هذه العائلة القياسية بواسطة معهد المعايير التركية في بلدنا على النحو التالي:

• TS EN ISO / IEC 27000 تكنولوجيا المعلومات - تقنيات الأمن - نظم إدارة أمن المعلومات - نظرة عامة والقاموس
• TS EN ISO / IEC 27001 تكنولوجيا المعلومات - تقنيات الأمن - نظم إدارة أمن المعلومات - المتطلبات
• TS EN ISO / IEC 27002 تكنولوجيا المعلومات - تقنيات الأمان - مبادئ التطبيق لضوابط أمن المعلومات
• TS ISO / IEC 27003 تكنولوجيا المعلومات - تقنيات الأمان - دليل تطبيق نظام إدارة أمن المعلومات
• ISO / IEC 27004 تكنولوجيا المعلومات - تقنيات الأمن - إدارة أمن المعلومات - القياس
• TS ISO / IEC 27005 تكنولوجيا المعلومات - تقنيات الأمن - إدارة مخاطر أمن المعلومات
• TS ISO / IEC 27006 تكنولوجيا المعلومات - تقنيات الأمان - متطلبات للمؤسسات التي تجري التدقيق وإصدار الشهادات لأنظمة إدارة أمن المعلومات
• TS ISO / IEC 27007 تكنولوجيا المعلومات - تقنيات الأمن - إرشادات لمراجعة أنظمة إدارة أمن المعلومات
• TSE ISO / IEC EN 27008 تكنولوجيا المعلومات - تقنيات السلامة - دليل ضوابط أمن المعلومات للمدققين

ما هي المخاطر ، إدارة المخاطر والتهديد؟

يتم تعريف عبارة المخاطرة الموضوعة بلغتنا من الفرنسية على أنها خطر الضرر. المخاطرة هي حدوث حدث غير متوقع والتأثر به. لذلك ، يعتبر الخطر موقفا سلبيا وخطرا. وبهذه الطريقة ، من أجل الحماية من الآثار السلبية للمخاطر وتجنب أي ضرر ، يتم اتخاذ التدابير من خلال مراعاة الاحتمالات المختلفة. تسمى الطريقة التي تتضمن هذه الدراسات وأنشطة التخطيط إدارة المخاطر.

إدارة المخاطر هي عملية تحديد وقياس وتحليل وتقييم عدد من عوامل الخطر وتقليل الخسائر المحتملة من أجل منع انقطاع تشغيل المؤسسة وضمان عدم تأثر الأنشطة سلبًا. ومع ذلك ، لا يمكن التخلص من المخاطر في أنشطة إدارة المخاطر بشكل كامل.

العناصر الرئيسية لدراسة إدارة المخاطر هي:

• تحديد أصول المؤسسة مع قيمة المعلومات
• تحديد المخاطر الداخلية والخارجية التي تهدد الأعمال
• الكشف عن نقاط الضعف والمفتوحة التي تعرض العمل للخطر
• تحديد احتمال تحقيق المخاطر
• تحديد آثار المخاطر على أنشطة المؤسسة والنظام

بالأصل ، نعني كل شيء يمثل جزءًا من النظام وله قيمة للمشروع. لذلك ، تعتبر الأصول ذات قيمة بالنسبة للأعمال وتحتاج إلى الحماية.

فيما يتعلق بنظام تكنولوجيا المعلومات ، لا تعني الأصول البرامج والأجهزة فقط. يتم تضمين ما يلي في مفهوم: جميع أنواع المعلومات وأجهزة الكمبيوتر الشخصية والطابعات والخوادم وجميع الأجهزة المماثلة وأنظمة التشغيل والتطبيقات المطورة والبرامج المكتبية وجميع البرامج المماثلة والهواتف والكابلات وأجهزة مودم الخطوط وأجهزة التبديل وجميع أجهزة الاتصال الأخرى ، جميع الوثائق والخدمات المنتجة وبالطبع سمعة وصورة العمل في السوق.

تخضع المخاطر لتصنيف معين في دراسات إدارة المخاطر. على سبيل المثال ، إذا تعرض الأصل للتلف في المجموعة منخفضة المخاطر ، فلن يتضرر نظام المعلومات كثيرًا وسيظل النظام يعمل. هذا الموقف لا يضر بسمعة المؤسسة. يتأثر نظام المعلومات في حالة تلف الأصل في فئة المخاطر المتوسطة. على الرغم من أن النظام لا يزال يعمل ، فإن الأصول لا تزال بحاجة إلى وضعها موضع التنفيذ. هذا الموقف يسبب بعض الأضرار التي لحقت سمعة المؤسسة. يتأثر نظام المعلومات بشدة في حالة تلف الأصل في مجموعة المخاطر العالية. ما يقرب من نصف النظام يصبح غير قابل للاستخدام. لكي يعمل النظام ، يجب استبدال الأصل. هذا الموقف يؤثر بشكل كبير على سمعة المؤسسة. في المجموعة شديدة الخطورة ، تعرض وجود المعلومات لأضرار جسيمة ، وفي هذه الحالة تأثر تشغيل النظام بشكل كبير. نظام المعلومات غير متوفر. هذا الموقف يؤثر على سمعة الشركة في السوق بشكل سيء للغاية.

التهديد هو احتمال أن يستغل أي مصدر تهديد ، سواء عن قصد أو نتيجة لحادث ، ثغرة أمنية في النظام وإتلاف الأصول. وتشمل التهديدات الطبيعية الزلازل والانهيارات الأرضية والفيضانات وضربات البرق أو العواصف. تشمل التهديدات البيئية تلوث الهواء وانقطاع التيار الكهربائي لفترة طويلة والتسريبات. التهديدات التي تسببها البشر هي التي تسببها الناس بوعي أو تدري. على سبيل المثال ، إدخال بيانات خاطئة في النظام أو هجمات الشبكة الخارجية أو تثبيت برامج ضارة على النظام أو سرقة بيانات اعتماد المستخدم أو الوصول إلى أشخاص مفوضين للنظام.

الانفتاح على أنظمة المعلومات هو نقطة ضعف أو خطأ أو عيب يتم مواجهته في إجراءات أمان النظام أو في الممارسة أو في عمليات التدقيق الداخلي التي تنتهك أمان المعلومات. هذه الفتحات وحدها ليست خطرا. يجب أن يكون هناك تهديد لتحقيقها.

ما هو نطاق نظام إدارة أمن المعلومات ISO 27001؟

تنتج المؤسسات معلومات معينة ضمن نطاق أنشطتها بغض النظر عن القطاع أو الحجم الذي تعمل فيه وهذه المعلومات قيمة لكل مؤسسة. تختلف الجهود المبذولة لحماية المعلومات من عمل إلى آخر ، ولكن بشكل عام سيغطي النظام العناصر الرئيسية التالية:

• يجب أن تكون الإدارة العليا للمؤسسة قد حددت وشرحت السياسة الواجب اتباعها في مجال أمن المعلومات.
• يجب إدراج أصول المعلومات في المؤسسة وترتيبها حسب الأهمية.
• يجب منع احتمال ارتكاب الموظفين للأخطاء.
• يجب تقليل خطر إساءة استخدام أصول المعلومات في المؤسسة.
• يجب تقليل الهجمات على مصادر المعلومات وخطر تلف المعلومات أو تغييرها.
• يجب أن تكون أنظمة الكمبيوتر التشغيلية كافية وموثوقة.
• ينبغي للأشخاص المصرح لهم فقط الوصول إلى المعلومات.
• في حالة حدوث أي خرق للأمن ، يجب أن تكون الاستجابة السريعة وفي الوقت المناسب ممكنة وفقًا لشكل الحدث.
• يجب ألا تتوقف الهجمات على المعلومات عن الأنشطة الرئيسية للمشروع ويجب أن تكون قادرة على العودة إلى البيئة الطبيعية بسرعة كبيرة. وبعبارة أخرى ، ينبغي ضمان استمرارية الأنشطة.
• يجب أن يكون نظام إدارة أمن المعلومات على مستوى كافٍ للوفاء بالتزامات اللوائح القانونية لأي كيان.

على الرغم من أن نظام إدارة أمن المعلومات ISO 27001 لا يُنظر إليه إلا على أنه مشروع لتكنولوجيا المعلومات في المؤسسات ، إلا أنه في الواقع مشروع لأمن المعلومات يتعلق بالمشروع بأكمله. لذلك الإدارة العليا مسؤولة مباشرة عن إنشاء وتشغيل معيار ISO 27001. اليوم ، يتم إدارة نظام إدارة أمن المعلومات ISO 27001 ككل ويشمل جميع الموارد البشرية والإدارة العليا وأنظمة المعلومات والعمليات التجارية في المؤسسة.

الأهداف الرئيسية لمعيار ISO 27001 هي:

• لتحديد نقاط الضعف في أمن المعلومات ، إن وجدت
• تحديد المخاطر التي تهدد أصول المعلومات
• لتحديد طرق التدقيق لضمان أمن أصول المعلومات المعرضة للخطر
• التأكد من تنفيذ الضوابط اللازمة والحفاظ على المخاطر المحتملة عند مستوى مقبول
• لضمان استمرارية ضوابط أمن المعلومات في المؤسسة

ماذا يجلب نظام إدارة أمن المعلومات ISO 27001؟

يتيح معيار ISO 27001 وضع منهجية لتقييم المخاطر وإعداد تقارير تقييم المخاطر وإعداد خطط معالجة المخاطر.

بمرور الوقت ، قد تتغير طبيعة التهديدات ونقاط الضعف الموجودة في النظام. أو كنتيجة للضوابط التي يتم تنفيذها باستخدام معيار ISO 27001 المطبق ، فقد يتم تقليل المخاطر أو قد يتم تقليل درجة الخطورة. لذلك ، تعتبر أنشطة مراقبة المخاطر الخاصة بالمؤسسات مهمة. تلتزم الشركات بإجراء دراسات تقييم المخاطر وفقًا للمنهجية المقبولة خلال الفترة التي تحددها.

يجب أن تتضمن سياسة أمن المعلومات وفقًا لمعيار ISO 27001 بشكل أساسي: الأمن المادي والبيئي ، وأمن المعدات ، وأنظمة التشغيل ، وأمن المستخدم النهائي ، وأمن كلمة المرور ، وأمن الخادم والنظام.

تشير مسألة الأمن المادي والبيئي إلى منع الوصول غير المصرح به إلى النظام وحماية أصول المعلومات من مختلف المخاطر. اليوم ، أصبحت السلامة الجسدية والبيئية ذات أهمية متزايدة. ومن الأمثلة على هذه التدابير وجود فرق أمنية خاصة عند مدخل مبنى الأعمال ، وتخزين بيئات المعلومات المهمة والوصول إلى هذه البيئات باستخدام أنظمة الأمان المشفرة. لحماية أنظمة المعلومات ، من الشائع تثبيت أنظمة التحكم في الوصول والوصول إلى أنظمة الأمن المادي المشابهة. يتم تأسيس أمن الحدود المادي هذا بناءً على الاحتياجات الأمنية لأصول المعلومات ونتائج تقييم المخاطر. يتم حظر البيئات التي تحتوي على معلومات شديدة الخطورة من الوصول غير المصرح به عن طريق بطاقات المصادقة أو حماية PIN. بالإضافة إلى ذلك ، ينبغي اتخاذ تدابير الحماية المادية وتطبيقها ضد الأضرار الناجمة عن الكوارث مثل الحرائق أو الفيضانات أو الزلازل أو الانفجارات أو الاضطرابات الاجتماعية.

أهمية نظام إدارة أمن المعلومات ISO 27001

يهدف أمن المعلومات إلى ضمان استمرارية العمل في المؤسسات ، وتقليل الخسائر في حالة الخطر الذي لا مفر منه إلى أدنى حد وحماية سرية الموارد وإمكانية الوصول إليها وسلامتها في جميع الحالات. اليوم ، ليس فقط مع موظفيها ، ولكن أيضًا مع الشركاء التجاريين والمساهمين والعملاء ، يعد إنشاء بيئة ثقة لحماية وسرية المعلومات أمرًا ذا أهمية استراتيجية لإدارة الأعمال.

المشاكل الأمنية التي تواجهها بطرق مختلفة لا تقاطع استمرارية الأنشطة فحسب ، بل تتسبب أيضًا في فقد السوق وخلق صعوبات تنافسية وتسبب فقدان الثقة ضد شركاء الأعمال والمساهمين والعملاء. تكلفة النفقات لاسترداد هذه الأرقام أغلى من تكلفة التدابير لتجنب فقدانها.

تعتبر المعلومات الخاصة بالأعمال التجارية ، مثل الأصول التجارية الأخرى ، أحد الأصول التي لها قيمة وبالتالي تحتاج إلى الحماية. المعلومات ذات أهمية كبيرة لرجال الأعمال لمواصلة أنشطتها. لهذا السبب ، من المهم الحفاظ على سرية معلومات الأصول والحفاظ على سلامتها ومتاحتها في جميع الأوقات ، وباختصار ، يتم ضمان أمن المعلومات. يعد نظام إدارة أمن المعلومات ISO / IEC 27001 هو النظام الدولي الوحيد القابل للتدقيق الذي يحدد احتياجات المؤسسات في هذا الاتجاه.

يعد معيار ISO 27001 ضروريًا بشكل خاص في القطاعات التي تتسم فيها معالجة المعلومات وحمايتها بأهمية قصوى ، مثل القطاعات العامة والمالية والصحية وتكنولوجيا المعلومات. هذا المعيار مهم أيضًا للشركات التي تدير المعلومات لأشخاص ومؤسسات أخرى. وبهذه الطريقة ، توفر الشركات لعملائها التأكيد على حماية معلوماتهم.

نظام إدارة أمن المعلومات ISO 27001 هو نظام إدارة أنشأته الشركات بهدف توفير أمن المعلومات وتطبيق هذا المعيار ومراقبة ومراجعة وصيانة وتحسين التطبيق بشكل مستمر. في هذا الإطار ، يتم إجراء دراسات تحليل المخاطر من أجل تحديد موارد المؤسسة وتحديد المخاطر المحتملة. دراسات تقييم المخاطر هي مقارنة المخاطر مع معايير المخاطر المحددة من أجل تحديد أهمية المخاطر.

تخطيط نظام إدارة أمن المعلومات ISO 27001

يعتمد إنشاء معيار ISO 27001 في المؤسسة على عدد من الخطوات. هذا هو ،

• أولاً ، يجب جمع معلومات حول البنية التحتية للمشروع. تتعلق هذه المعلومات بمجالات نشاط المؤسسة ، وطبيعة العمل المنجز ، ومهمة المؤسسة وتسويتها.
• ثم ، يجب تحديد الأسماء الأساسية التي ستخدم في إنشاء النظام. في هذه المرحلة ، يجب تحديد المسؤولين عن إدارة المخاطر والغرض من إنشاء النظام.
• ثم يجب تحديد الوضع الأمني ​​للمؤسسة في الوضع اليوم.
• ينبغي بعد ذلك جمع المعلومات ، مثل المواقع والعمليات ووظائف الأعمال وتقنيات المعلومات ، والتي ستحدد نطاق النظام.
• في هذه المرحلة ، يجب تحديد هدف ونطاق نظام إدارة أمن معلومات ISO 27001 وإنشاء برنامج عمل.
• أخيرًا ، في المرحلة الأخيرة ، يجب تحديد العمليات اللازمة لإنشاء النظام واستمرارية النظام.

الدورة ، التي تنطبق تقليديًا على جميع أنظمة إدارة الجودة ، هي أيضًا الحالة هنا:

• الخطة (إنشاء نظام إدارة أمن المعلومات)
• تطبيق (تنفيذ وتشغيل نظام إدارة أمن المعلومات)
• فحص (مراقبة ومراجعة نظام إدارة أمن المعلومات)
• اتخاذ الاحتياطات اللازمة (صيانة وتحسين نظام إدارة أمن المعلومات)

بطبيعة الحال ، مع إنشاء مثل هذا النظام ، تكتسب الشركات فوائد هائلة. على سبيل المثال،

• يدرك الكيان وجود وأهمية جميع أصول المعلومات.
• يحمي أصول المعلومات من خلال تطبيقها على طرق التحكم والحماية المحددة.
• بهذه الطريقة ، يتم ضمان استمرارية العمل. عند مواجهة أي خطر ، يتم منع الأنشطة من الانقطاع.
• مع هذا النظام ، تكتسب الشركة ثقة الأطراف ذات الصلة حيث إنها ستحمي معلومات الشركات الموردة والعملاء.
• حماية المعلومات لا تترك للصدفة.
• يتصرف العمل بشكل أكثر منهجية من منافسيه عند تقييم عملائه.
• تحفيز الموظفين في الأعمال التجارية يزيد.
• كما سيتم ضمان اللوائح القانونية ، يتم منع المتابعة القانونية الممكنة.
• تزداد سمعة النشاط التجاري في السوق ويعد العمل خطوة إلى الأمام في المعركة ضد منافسيه.

يتطلب نظام إدارة أمن معلومات ISO 27001 معالجة جميع أصول المعلومات في المؤسسة وتقييمها ، وإجراء تحليل للمخاطر مع مراعاة نقاط الضعف والتهديدات لهذه الأصول. من أجل تحقيق ذلك ، يجب على المؤسسة اختيار طريقة لإدارة المخاطر المناسبة لهيكلها والتخطيط للمخاطر. يتضمن المعيار أهداف التحكم وطرق التحكم لمعالجة المخاطر.

وفقًا لمعيار ISO 27001 ، يتعين على الشركات وضع خطط لإدارة المخاطر ومعالجة المخاطر وتحديد المهام والمسؤوليات وإعداد خطط استمرارية الأعمال وإعداد عمليات إدارة الطوارئ والاحتفاظ بسجلات لها أثناء التنفيذ.

يتعين على الشركات أيضًا إصدار سياسة لأمن المعلومات تغطي جميع هذه الأنشطة. يجب أن تكون جميع الإدارة العليا والموظفين على دراية بأمن المعلومات والتهديدات. عند تنفيذ نظام إدارة أمن المعلومات ISO 27001 ، ينبغي قياس أهداف التحكم المحددة ومراقبة ملاءمة وأداء عناصر التحكم بشكل مستمر. يجب أن تكون هذه العملية عملية حية ، وينبغي ضمان إدارة أمن المعلومات ، والدعم الفعال للإدارة العليا ومشاركة جميع الموظفين. يمكن للمؤسسات الطالبة تلقي الاستشارات ودعم الخبراء في إدارة المخاطر وصنع السياسات وتوثيق العمليات الأمنية وتحديد وتنفيذ طرق الرقابة المناسبة.

باختصار ، معيار ISO 27001 هو نظام يحدد أمن المعلومات الكلي وكيفية ضمان أمن المعلومات كعملية حية. يمكن وصف خطوات إعداد هذا النظام على النحو التالي:

• تصنيف أصول المعلومات
• تقييم أصول المعلومات وفقًا لمعايير السرية والنزاهة وسهولة الوصول
• تحليل المخاطر
• تحديد طرق التحكم التي سيتم تطبيقها وفقًا لنتائج تحليل المخاطر
• الانتهاء من عمل الوثائق
• تطبيق أساليب التحكم المحددة
• إجراء دراسات التدقيق الداخلي
• حفظ السجلات المطلوبة حسب المعيار
• إدارة اجتماعات المراجعة الإدارية
• إجراء دراسات الشهادات

التهديدات ونقاط الضعف المتعلقة بالاتصال الإلكتروني

في إطار اللوائح القانونية ذات الصلة ، هناك بعض الأشياء التي ينبغي على الشركات القيام بها لضمان أمن المعلومات:

• الاحتفاظ بسجلات سجلات IP المستخدمة بواسطة أجهزة الكمبيوتر
• الاحتفاظ بسجلات عن الموظفين الذين لديهم عناوين IP للماضي
• الاحتفاظ بسجلات سجل لرحلات الموظفين على الإنترنت
• حفظ سجلات سجل البريد الإلكتروني المرسلة من قبل الموظفين
• الاحتفاظ بسجلات للصفحات على الإنترنت التي أنفقها الموظفون والمدة التي قضوها في الماضي
• توفير وصول محدود للوصول إلى الإنترنت عن طريق التصفية حسب المحتوى
• ضمان سلامة جميع السجلات التي تم الحصول عليها وإثبات أنها لم يتم تغييرها

في هذا الإطار ، فإن التهديدات الرئيسية التي يتعرض لها التواصل الإلكتروني للموظفين هي:

• الموظفون الذين يدخلون منطقة الحساسية الأمنية دون تفويض أو يتجاوز حدود التفويض الحالية
• يحاول الموظفون تعطيل سرية البيانات وسلامتها واستمراريتها دون إذن أو بتجاوز حدود الترخيص الحالية بحذف أو إضافة أو تعديل أو تأخير أو الحفظ إلى وسيلة أخرى أو الكشف عن المعلومات
• محاولة منع مكونات الأجهزة والبرامج كليًا أو جزئيًا من تلبية المتطلبات المنصوص عليها وفقًا للوائح القانونية والمعايير المحلية والأجنبية
• تقديم الانطباع بأن الاتصال الإلكتروني يجري مع الطرف الأيمن من خلال تضليل المستخدم
• مراقبة الاتصالات الإلكترونية باستخدام طرق غير قانونية
• الادعاء بأن هذه المعلومات تم الحصول عليها من طرف آخر عن طريق إنتاج معلومات غير صحيحة أو إرسال هذه المعلومات غير الصحيحة إلى طرف آخر
• لجعل البنية التحتية للاتصالات الإلكترونية غير قابلة للتشغيل جزئيًا أو كليًا أو لاستهلاك موارد هذه البنية التحتية بطريقة تمنع توفير الخدمات

في غضون ذلك ، يمكن إدراج نقاط ضعف التواصل الإلكتروني على النحو التالي:

• تهديدات مستقبلية غير متوقعة
• أخطاء في تصميم نظام أو بروتوكول
• مشاكل عند تثبيت نظام أو بروتوكول
• الأخطاء الناجمة عن مطوري البرمجيات
• أخطاء المستخدم
• أوجه القصور أو عدم المطابقة التي تنشأ أثناء استخدام النظام

الهيكل القياسي لنظام إدارة أمن المعلومات ISO 27001

تمت مراجعة معيار ISO 27001 مؤخرًا في 2013. في هذا الإصدار ، جمل المعيار كالتالي:

1. مجال
2. استشهد المعايير والوثائق
3. الشروط والوصفات
4. سياق المنظمة

• فهم المنظمة وسياقها
• فهم احتياجات وتوقعات الأطراف المعنية
• تحديد نطاق نظام إدارة أمن المعلومات
• نظام إدارة أمن المعلومات

1. قيادة

• القيادة والالتزام
• بوليتيكا
• أدوار الشركات والمسؤوليات والسلطات

1. تخطيط

• الأنشطة التي تتعامل مع المخاطر والفرص
• أهداف أمن المعلومات والتخطيط لتحقيق هذه الأهداف

1. دعم

• موارد
• مؤهلات
• وعي
• تواصل معنا
• معلومات مكتوبة

1. التشغيل

• التخطيط التشغيلي والسيطرة
• تقييم مخاطر أمن المعلومات
• معالجة مخاطر أمن المعلومات

1. تقييم الأداء

• الرصد والقياس والتحليل والتقييم
• التدقيق الداخلي
• مراجعة الإدارة

1. إعادة تأهيل

• عدم المطابقة والإجراءات التصحيحية
• التحسين المستمر

شهادة نظام إدارة أمن المعلومات ISO 27001

بعد إنشاء نظام إدارة أمن معلومات ISO 27001 ، ستحتاج الشركات إلى الحصول على شهادة ISO 27001 لإثبات هذا الموقف لعملائها والمنافسين والمؤسسات الرسمية والخاصة ذات الصلة. ومع ذلك ، لا ينبغي أن يكون الغرض من تثبيت هذا النظام هو الحصول على هذا المستند فقط. خلاف ذلك ، لا يمكن أن يتوقع من النظام توفير الفوائد الموضحة أعلاه.

وفقًا لطرق التحكم التي تم تحديدها أثناء عملية التنفيذ ، حماية أصول المعلومات ، والسيطرة على المخاطر التي تهدد أصول المعلومات ، واتخاذ تدابير للقضاء على المخاطر أو تخفيفها ، وتقييم المخاطر الجديدة التي تنشأ مع مرور الوقت وتقييم هذه المخاطر إذا كانت هناك مخاطر لا يمكن منعها ولكنها مقبولة. لهذه ، مطلوب موافقة الإدارة العليا. ستستمر هذه العملية طالما كان العمل موجودًا.

يمكن الآن للشركات التي تفي بمتطلبات معيار ISO 27001 وتطبق نظام إدارة أمن المعلومات أن تطلب شهادة ISO 27001 عن طريق التقدم إلى جهة إصدار الشهادات. في هذه المرحلة ، من المهم للغاية أن تكون جهة الاعتماد معتمدة من هيئة اعتماد محلية أو أجنبية. وإلا ، فإن التقارير والمستندات التي ستصدر لا يمكن أن يكون لها صلاحية.

تتم المرحلة الأولى من عمل الشهادات من خلال عمل الوثائق الحالية. في هذه المرحلة ، يتم التعامل بشكل فردي مع سياسة أمان المعلومات وتقارير تقييم المخاطر وخطط عمل المخاطر وإعلان المطابقة وإجراءات الأمان وتعليمات التطبيق التي تعدها المؤسسة. إذا تم الكشف عن أي عدم توافق في هذه المستندات ، فمن المتوقع أن يتم إكمالها قبل المتابعة إلى المرحلة الثانية.

بعد الانتهاء من المرحلة الأولى ، تقوم هيئة إصدار الشهادات بتعيين مدقق واحد أو أكثر وتبدأ أعمال التدقيق في بيئة عمل المؤسسة. في عمليات التدقيق التي تتم في الموقع ، يتم ملاحظة ما إذا كانت عناصر التحكم في أمان المعلومات التي يحددها الكيان وفقًا لمجال النشاط تتوافق مع متطلبات ISO 27001. بعد الانتهاء من عمليات تدقيق المرحلة الثانية ، يعد المراجعون تقريرًا ويقدمونه إلى جهة إصدار الشهادات.

تقوم هيئة إصدار الشهادات بإجراء دراسات تقييم بناءً على هذا التقرير وتعد شهادة نظام إدارة أمن معلومات ISO 27001 إذا رأت ذلك مناسبًا وتسلمها للمؤسسة. مدة صلاحية الشهادة ثلاث سنوات. ومع ذلك ، بعد إصدار هذه الوثيقة ، تتم عمليات التدقيق المؤقتة مرة واحدة أو مرتين في السنة وفقًا لطلب المؤسسة. بعد ثلاث سنوات ، يجب إجراء دراسات الشهادات مرة أخرى.