( حماية وسرية المعلومات -المعيار الدولي 27001 و27002)

التصنيف: مقالات

تاريخ النشر: 2017-11-14 17:04:40

يعد أمن المعلومات هاجساً للكثير من مدراء تقنية المعلومات والمسؤولين عن أمن المعلومات في المنشآت والمؤسسات ، وأدى وجود العديد من التقنيات  والبرامجيات  وطرق  نقل المعلومات الى صعوبة في اختيار الحل المناسب الذي يمكن ان يطمئن له .

كما ان وجود تقنية لأمن المعلومات لا يؤدي الغرض المطلوب  ان لم يتم  دعمها بالجوانب التشريعية والتطبيقية. ومن هنا ظهرت  الحاجة الى وجود منهجية لبناء نظام أمن معلومات متكامل يوفر الحماية المرجوة للمعلومات على جميع مستوياتها وبجميع طرق حفظها أو تناقلها. وهذا ما يوفره المعيار الدولي الآيزو 27001 بحيث أنه عباره عن عملية مستمرة لحماية المعلومات عن طريق معرفة أصول المنظمة وتقييم أهميتها بناء على ما تحتويه من معلومات ومن ثم معرفة وتقييم المخاطر المتوقعة وتقديم الحلول المناسبة سواء كانت حلولا تقنية أو ادارية او تشغيلية واجرائية.

ولغرض التذكير وتجديد  المعلومة فان ISO  هي اختصار ل ISO (International Organization for Standardization) أي المنظمة العالمية للمعايير أو المقاييس وهي منظمة غير ربحية بها أعضاء من162دولة , بحيث يكون هنالك عضو من كل دولة, ويتم التنسيق والمتابعة بينهم عن طريق أمانة عامة مركزية في جنيف ، سويسرا.وتشكل الايزو جسرا بين القطاع الحكومي والخاص عن طريق تطوير معايير تلبي جميع متطلبات العمل واحتياجات المجتمع الحكومي والخاص.

ويعتبرالمعيار العالمي لنظام امن المعلومات الآيزو 27001 وثيقة فنية ادارية ترسم المسار
لتطوير, تنفيذ, تشغيل,مراقبة,مراجعة,محافظة على, وتحسين نظام أمن معلومات موثق في المنظمة وبناء  اساس يهدف الى ادارة فعالة ومستمرة للمخاطر توفرحماية مناسبة للمعلومات حسب أهميتها.

ويمتاز معيار 27001 بانه  معيار متكامل لبناء نظام أمن معلومات فعال قابل للتطوير المستمر ويخضع للتقييم من جهة مخولة بذلك مرتين خلال السنة ويعطي الحصول عليه مزيد من الثقة بالجهة الحاصلة على الشهادة من ناحية حمايتها لمعلوماتها ومعلومات عملائها.

كما نشير الى أن كلمة ” نظام” الواردة هنا لا تعني نظام الكتروني أو معلوماتي بل نظام يعتمد على سياسات معتمدة وإجراءات عمل وعمليات موثقة يتم اتباعها.

فوائد الحصول على شهادة الآيزو 27001

  • من أهم فوائد الشهادة هي وضع معالم نظام أمن المعلومات في المنظمة وبناء نظام متكامل يعتمد على عمليات مستمرة يؤدي تطبيقها الى الحماية المرجوة والتطور المستمر بناء على منهجية معتمدة .
  • مؤشر بالتزام المنظمة على جميع مستوياتها بحماية المعلومات.
  • زيادة الثقة بالمنظمة ونقطة تنافسية مهمة مع الجهات الاخرى.

وعند هذا الموضع يبدو مناسباً ان نسأل ما الفرق بين الآيزو 27001 والآيزو 27002 ؟
الآيزو 27001  فهو عبارة عن معيار عالمي يعنى بحماية المعلومة له متطلبات معينة عند تلبيتها تحصل المنظمة على شهادة معتمدة تفيد بتطبيقها للمعايير الواردة على نطاق العمل الذي تم اختياره بمعنى أنه:
آ. يتم تقييم مدى التوافق مع المعايير ( ويحصل هذا دوريا مرتين خلال العام)
ب. بعد اجتياز التقييم تحصل المنظمة على شهادة معتمدة بموافقتها للمعيار 27001.
وأما الآيزو 27002  فهو عبارة عن أفضل الممارسات والتوجيهات في تطبيق ما ورد في المعيار 27001 من ادوات تحكم تحمي المعلومات ( وهي الواردة في ملحق أ في المعيار). كما أنه:
1- لا يقدم توجيهات حول طريقة تنفيذ المعيار 27001 وانما توجيهات حول كيفية تطبيق ادوات التحكم كما ورد في التعريف.
2- لا يستخدم في التقييم بمعنى أنه لا يتم تقييم مدى تطبيق المنشأة ل 27002 من جهة خارجية.
3- لا يتم اعطاء شهادة باجتيازه وذلك لأنه لا يتم تقييم مدى تطبيقه ( كما ورد في النقطة رقم 1).

ويتكون كلا المعياريين من 10 فقرات تنظيمية ، تبدأ بنطاق عمل امن المعلومة والمصادرالعلمية  التي ستعتمد في تنفيذ فقرات المعايير ، والتعاريف التي ستدرج بالنظام بهدف توحيد لغة التفاهم في المصطلحات والمواقع التي سترد في منهجيات العمل ، ثم ينتقل المعيار لتحديد سياق المنظمة بمجال أمن المعلومة  وتحديد دور القيادات وسياساتهم والتزاماتهم تجاه امن المعلومة ، ومن ثم تأتي فقرة التخطيط التي تحدد معالجات النظام للتأثيرات الايجابية والسلبية الداخلية والخارجية كخطط  لسلامة امن المعلومات ، والفقرة السابعة تتحدث عن الدعم اللازم لبناء نظام امن المعلومة من موارد بشرية وتقنيات وبنى تحتية ، والفقرة التالية هي اساسيات  لكيفية تشغيل النظام بكفاءة، وكيفية التحقق من سلامة ادائه و الفقرة الاخيرة هي التحسين المستمر

يعتبر المعيار العالمي الايزو 27001 من المعايير العالمية المتميزة ان لم يكن الوحيد المعتمد والذي يتميز بمرونته بحيث يتوافق مع جميع المنظمات حكومية كانت أو خاصة بحيث تقوم المنشأة بدراسة المخاطر المتعلقة بمعلوماتها وفهمها ومن ثم بناء نظام امن معلومات متكامل يقلل المخاطر وقابل للتطوير بناء على منهجية واضحة وموثقة.

عامة
    شروط نشر المقالات والدراسات
كلمات المسؤولين
    كلمة مستشار الامن القومي
    كلمة مدير عام المركز
    كلمة معاون مدير عام المركز
مواقع إلكترونية ذات صلة
    ألامانة العامة لمجلس الوزراء
    وزارة الخارجية العراقية
    وزارة التخطيط
    البنك المركزي العراقي