نطاق أمن المعلومات ضمن معايير آيزو 27001
من المحتمل أن يكون نطاق ISMS أحد أهم موضوعات ISO 27001 ، لأن الشركات التي ليس لديها خبرة بالمعيار يجب أن تتخذ قرارًا مهمًا بشأن ما يجب تضمينه في النط...
من المحتمل أن يكون نطاق ISMS أحد أهم موضوعات ISO 27001 ، لأن الشركات التي ليس لديها خبرة بالمعيار يجب أن تتخذ قرارًا مهمًا بشأن ما يجب تضمينه في النطاق في وقت مبكر جدًا من المشروع. ولكن عند التفكير في النطاق بطريقة منظمة ، فليس من الصعب جدًا ضبطه بشكل صحيح. في هذه المقالة ، تعرف على المزيد حول الغرض من نطاق ISMS ، وكيفية كتابة بيان نطاق ISO 27001 ، وكيف يبدو مثال على نطاق ISO 27001 ISMS
متطلبات ISO 27001 عند تحديد نطاق ISMS:
تأخذ في الاعتبار القضايا الداخلية والخارجية
تأخذ في الاعتبار احتياجات وتوقعات الأطراف المهتمة
ضع في اعتبارك الواجهات والتبعيات بين ما يحدث داخل نطاق ISMS والعالم الخارجي
ما هو الغرض من نطاق ISMS؟
الغرض الرئيسي من تحديد نطاق ISMS (نظام إدارة أمن المعلومات) هو تحديد المعلومات التي تنوي حمايتها. لذلك ، لا يهم ما إذا كانت هذه المعلومات مخزنة داخل مكاتب شركتك أو في مكان ما على السحابة ؛ لا يهم ما إذا كان يتم الوصول إلى هذه المعلومات من شبكتك المحلية ، أو من خلال الوصول عن بعد. النقطة المهمة هي أنك ستكون مسؤولاً عن حماية هذه المعلومات بغض النظر عن مكان وكيفية ومن يتم الوصول إلى هذه المعلومات.
لذلك ، على سبيل المثال ، إذا كان لديك أجهزة كمبيوتر محمولة يقوم موظفوك بتنفيذها من مكتبك ، فهذا لا يعني أن أجهزة الكمبيوتر المحمولة هذه خارج نطاقك - يجب تضمينها في نطاقك إذا كان بإمكان الموظفين استخدام أجهزة الكمبيوتر المحمولة هذه للوصول إلى شبكتك المحلية و جميع المعلومات والخدمات الحساسة الموجودة هناك.
بالطبع ، النطاق مهم أيضًا إذا ذهبت للحصول على الشهادة - سيتحقق مدقق الشهادة مما إذا كانت جميع عناصر ISMS تعمل بشكل جيد ضمن نطاقك ؛ لن يتحقق من الأقسام أو الأنظمة التي ليس لديها حق الوصول إلى المعلومات المضمنة في نطاقك.
متطلبات ISO 27001 فيما يتعلق بالنطاق
بشكل أساسي ، تقول ISO 27001 أنه يجب عليك القيام بما يلي عند تحديد النطاق:
تأخذ في الاعتبار القضايا الداخلية والخارجية المحددة في البند 4.1.
ضع في الاعتبار جميع متطلبات الأطراف المعنية المحددة في البند 4.2 - كيفية تحديد الأطراف المعنية وفقًا لمعيار ISO 27001 و ISO 22301.
ضع في اعتبارك الواجهات والتبعيات بين ما يحدث داخل نطاق ISMS والعالم الخارجي.
شيء آخر يجب عليك تضمينه في مستند نطاق ISO 27001 ISMS الخاص بك هو وصف موجز لموقعك (يمكنك استخدام مخططات الطوابق لوصف المحيط) والوحدات التنظيمية (على سبيل المثال ، المخططات التنظيمية) - هذا ليس مطلوبًا بشكل صارم وفقًا للمعيار ، ولكن يرغب مدققو الشهادات في رؤيتها مدرجة لأنها تسهل فهم ISMS وتدقيقه.
يتطلب ISO 27001 منك كتابة مستند لنطاق ISMS - يمكنك دمج هذا المستند مع واحد أو أكثر من المستندات الأخرى (على سبيل المثال ، سياسة أمن المعلومات) ، أو الاحتفاظ بها كمستند منفصل ، أو الحصول على مستند واحد مع مراجع للآخرين (على سبيل المثال ، الأطراف المهتمة ومتطلباتها وسياق المنظمة وما إلى ذلك).
ما هي الواجهات والتبعيات؟
لنبدأ بالتبعية - ربما يكون من الأسهل وصفها بيانياً. يمكنك رسم العمليات التي تم تضمينها في نطاق ISMS الخاص بك ، ثم خارج هذه الدائرة ، ارسم العمليات التي يتم توفيرها من خارج نطاقك. من خلال العمليات ، لا أعني فقط الأمن أو عمليات تكنولوجيا المعلومات - أعني العمليات التجارية الرئيسية ضمن نطاقك ؛ إذا كنت قد نفذت بالفعل ISO 9001 ، فمن المحتمل أن يكون لديك مخطط عملية مماثل.
بمجرد معرفة التبعيات ، يجب عليك تحديد الواجهات. هذه الأمور مهمة للشركة لفهم حدود ISMS الخاصة بها ، وفهم المدخلات والمخرجات التي ستمر عبر هذه الواجهات من أجل حمايتها بشكل أفضل.
لتحديد الواجهات ، يجب عليك تحديد جميع نقاط النهاية التي تتحكم فيها - على سبيل المثال ، في شبكتك المحلية ، يمكن أن يكون هذا هو الموجه (لأنه بعد هذه النقطة ، لن يكون لديك عادةً أي سيطرة على الرابط - شركة الاتصالات تفعل ذلك) ، بينما مكاتبك ، يمكن أن تكون الواجهة هي أبواب المدخل ، وما إلى ذلك.
كيفية تحديد نطاق ISO 27001 ISMS خطوة بخطوة
يعد تحديد حدود النطاق خطوة حاسمة في عملية تنفيذ وتشغيل ISMS بنجاح وفقًا لمعيار ISO 27001: 2022.
لذلك ، عند تحديد نطاق ISMS ، اتخذ الخطوات التالية:
البحث عن القضايا الداخلية أو الخارجية التي تحدد المجالات التي يجب أن تكون في النطاق - على سبيل المثال ، المعلومات الأكثر حساسية موجودة في قسم البحث والتطوير بالشركة.
حدد ما إذا كان بإمكان أي أطراف معنية التأثير على النطاق - على سبيل المثال ، تتطلب اللائحة العامة لحماية البيانات في الاتحاد الأوروبي تضمين البيانات الشخصية في النطاق.
ضع في اعتبارك ما إذا كانت الواجهات والتبعيات تؤثر على النطاق - على سبيل المثال ، إذا كان موظفو قسمين مختلفين يتشاركون نفس المكتب وجميع البرامج والبيانات ، فسيكون من الصعب جدًا تضمين أحد هذه الأقسام في نطاق ISMS وليس الآخر.
تحديد الاستثناءات من النطاق - على سبيل المثال ، يتم استبعاد الأجهزة الخاصة.
اكتب وثيقة نطاق ISMS.
كيفية كتابة بيان نطاق ISO 27001
بشكل أساسي ، يجب أن تكون وثيقة نطاق ISMS وثيقة قصيرة وبسيطة إلى حد ما - يجب أن تتضمن ما يلي:
قائمة العمليات والخدمات المدرجة في النطاق
قائمة الأقسام أو الوحدات التنظيمية الأخرى المدرجة في النطاق
قائمة المواقع المادية المدرجة في النطاق
الاستثناءات من النطاق
أدناه ، يمكنك رؤية الشكل الذي يمكن أن يبدو عليه جدول المحتويات لوثيقة نطاق ISMS.
أمثلة على نطاق ISO 27001 ISMS
فيما يلي بعض الأمثلة لبيان نطاق ISO 27001 ISMS كمرجع.
مثال رقم 1 - قررت شركة أدوية مكونة من 700 موظف تضمين قسم البحث والتطوير فقط في نطاق ISMS الخاص بهم ، لأن هذا هو المكان الذي يتعاملون فيه مع المعلومات الأكثر حساسية. يصفون نطاق ISMS الخاص بهم بالطريقة التالية:
القسم: قسم البحث والتطوير
العمليات: تحليل السوق والبحث والتطوير والاختبار
الموقع الفعلي: (عنوان قسم البحث والتطوير الخاص بهم)
الاستثناءات: الأجهزة الخاصة التي يستخدمها الموظفون عند العمل من المنزل - لأن الشركة لا تتحكم في تلك الأجهزة
مثال رقم 2 - قررت شركة برمجيات مكونة من 30 موظفًا تضمين الشركة بأكملها في نطاق ISMS ، لأنها صغيرة جدًا بحيث لا تغطي سوى جزء واحد من الشركة مع النطاق. يصفون نطاق ISMS الخاص بهم بالطريقة التالية:
الأقسام: (سرد كافة الأقسام داخل الشركة)
العمليات: (سرد جميع العمليات داخل الشركة)
الموقع الفعلي: (عنوان المكاتب التي تعمل فيها)
الاستثناءات: الخوادم المادية لموفري الخدمات السحابية - لأن الشركة لا تتحكم في الخوادم المادية ، بل تتحكم فقط في الخوادم الافتراضية
تحديد نطاق ISMS إذا كان الخادمة سحابية
تعد الخوادم المنفذة في البيئات السحابية تحديًا إضافيًا في تنفيذ ISMS. نماذج الخدمة السحابية الشائعة المعتمدة في السوق ، بترتيب زيادة التعقيد ، هي:
البنية التحتية كخدمة (IaaS): تقدم فقط البنية التحتية الأساسية للحوسبة (على سبيل المثال ، الأجهزة المادية والافتراضية ، والموقع ، والشبكة ، والنسخ الاحتياطي ، وما إلى ذلك)
النظام الأساسي كخدمة (PaaS): يوفر ، خارج البنية التحتية للحوسبة ، بيئة تطوير لمطوري التطبيقات (مثل أنظمة التشغيل ، وبيئة تنفيذ لغة البرمجة ، وقواعد البيانات ، وما إلى ذلك)
البرمجيات كخدمة (SaaS): تقدم للمستخدمين النهائيين الوصول إلى برامج التطبيق وقواعد البيانات (على سبيل المثال ، البريد الإلكتروني ، ومشاركة الملفات ، والشبكات الاجتماعية ، وتخطيط موارد المؤسسات ، وما إلى ذلك)
لاحظ أنه مع زيادة التعقيد من IaaS إلى SaaS ، تبدأ الأصول الخاضعة لسيطرة العميل في الخضوع لسيطرة المزود ، وهذا يقود التغييرات في نطاق ISMS ، كما سيتم تقديمه لاحقًا.
الحلول السحابية وتأثيرها على تعريف النطاق
بادئ ذي بدء ، يجب أن تلاحظ أنه يمكن تنفيذ الحلول السحابية إما كسحابات خاصة (عندما لا يكون الموفر طرفًا ثالثًا ، ولكن قسم تكنولوجيا المعلومات الخاص بالمؤسسة أو وحدة أعمال مماثلة) أو سحابة عامة (عندما يتم الاستعانة بمصادر خارجية للأصول من قبل طرف ثالث حسب نموذج السحابة).
ومع ذلك ، بالنظر إلى المواقع والعمليات والأصول - هذه هي العلاقات بين الحلول السحابية وتأثيراتها على تعريف النطاق:
الخدمات السحابية | الملاحظة | تأثيرها في حجم النطاق |
1) تنشر المنظمة خوادمها المادية لاستضافة خوادمها الافتراضية في مركز البيانات الخاص بها. | هذا هو مفهوم نوع السحابة الخاصة ، وغالبًا ما يُرى في المؤسسات المتوسطة والكبيرة التي يمكنها تحمل تكاليف البنية التحتية. في هذه الحالة ، لا يؤثر نموذج السحابة (IaaS أو PaaS أو SaaS) على النطاق ، نظرًا لأن جميع الأصول تنتمي إلى المؤسسة. | يجب تضمين الموقع الفعلي لمنشآت مركز البيانات والأجهزة والبرامج والبيانات في نطاق ISMS. |
2) تنشر المنظمة خوادمها المادية لاستضافة خوادمها الافتراضية على بنية تحتية تابعة لجهة خارجية (المساحة والمرافق فقط). | يقدم الطرف الثالث خدمة تحديد المواقع المشتركة (مفهوم الاستعانة بمصادر خارجية يستخدم على نطاق واسع قبل عصر الخدمات السحابية) ، وتقوم المؤسسة بتشغيل الخوادم المادية والافتراضية. يمكن اعتبار ذلك بمثابة انتقال بين أنواع السحابة الخاصة والعامة. | يجب تضمين الأجهزة والبرامج والبيانات في نطاق ISMS ، بينما يكون الموقع الفعلي خارج النطاق. |
3) تنشر المنظمة خوادمها الافتراضية في بنية تحتية أساسية للحوسبة لطرف ثالث (Public IaaS). | تستفيد المنظمة من جميع البنية التحتية المادية والأجهزة الافتراضية التي يوفرها الطرف الثالث. | يجب أن تكون البرامج والبيانات في نطاق ISMS ، في حين أن الموقع المادي والأجهزة خارجة تمامًا. |
4) تستخدم المنظمة منصة تابعة لجهة خارجية (Public PaaS). | يتم توفير الخوادم الافتراضية ، وإلى حد ما ، التطبيقات من قبل الطرف الثالث. | عندما تستخدم المؤسسة نظامًا أساسيًا كخدمة تابعًا لجهة خارجية ، يجب تضمين البيانات وجميع برامج التطبيقات في نطاق ISMS ، بينما يتم إخراج كل شيء آخر ، بما في ذلك جميع برامج النظام. |
5) تستخدم المنظمة برنامجًا كخدمة تابعًا لجهة خارجية (Public SaaS). | يتم توفير الخوادم الافتراضية وجميع التطبيقات من قبل الطرف الثالث. | عندما تستخدم المؤسسة برنامجًا كخدمة تابعًا لجهة خارجية ، يجب أن تكون البيانات فقط في نطاق ISMS. |