سؤال و جواب عن آيزو 27001 و 22301

ISO 27001 هو معيار دولي صادر عن منظمة التقييس الدولية (ISO) ، والذي يحدد أنظمة إدارة أمن المعلومات. عنوانها الكامل هو ISO / IEC 27001: 2013. تم تطوير هذا المعي...

  ISO 27001   أبريل 15, 2023   0   225  أضف إلى قائمة القراءة
سؤال و جواب عن آيزو 27001 و 22301

ما هو ISO 27001؟

ISO 27001 هو معيار دولي صادر عن منظمة التقييس الدولية (ISO) ، والذي يحدد أنظمة إدارة أمن المعلومات. عنوانها الكامل هو ISO / IEC 27001: 2013. تم تطوير هذا المعيار من المعيار البريطاني BS 7799-2 ؛ تم نشره لأول مرة باسم ISO / IEC 27001: 2005 وأصبح الآن معيارًا دوليًا رائدًا لأمن المعلومات.

ما الذي يتم تحقيقه من خلال تطبيق ISO 27001؟

يقلل تطبيق ISO 27001 من المخاطر المتعلقة بالسرية وتوافر وسلامة المعلومات في المؤسسة. كما أنه يساعد المنظمة على تحقيق التوافق مع التشريعات التي تنظم حماية المعلومات السرية ، وحماية أنظمة المعلومات ، وحماية البيانات الشخصية ، وما إلى ذلك ، والتي هي موجودة بالفعل في معظم البلدان. أخيرًا ، يجب أن يؤدي تطبيق المعيار إلى تقليل تكاليف العمل بسبب عدد أقل من الحوادث ، وتحسين التسويق بسبب الدعاية التي يمكن اكتسابها من خلال المعيار. تعلم المزيد هنا ...

ما الفرق بين ISO 27001 و ISO 27002؟
يحدد المعيار الدولي ISO 27002 (الاسم الكامل: ISO / IEC 27002: 2013) إرشادات لتنفيذ الضوابط المدرجة في ISO 27001. تحدد ISO 27001 114 عنصر تحكم يمكن استخدامها لتقليل المخاطر الأمنية ، وتوفر ISO 27002 تفاصيل حول كيفية تنفيذ هذه الضوابط. يمكن للمنظمات أن تحصل على شهادة ISO 27001 ، ولكن ليس مقابل ISO 27002. كان يشار إلى ISO 27002 سابقًا باسم ISO / IEC 17799 ، وانبثقت من المعيار البريطاني BS 7799-1. تعلم المزيد هنا ...

ما هو BS 25999-2؟
كان هذا معيارًا بريطانيًا يحمل الاسم الكامل BS 25999-2: 2007 ، والذي حدد أنظمة إدارة استمرارية الأعمال. تم استبدال هذا المعيار بـ ISO 22301 في عام 2012. مزيد من المعلومات هنا ...

لماذا تذكرون ISO 27001 و ISO 22301 معًا؟
يحدد ISO 27001 إدارة أمن المعلومات ، والتي تشمل أيضًا إدارة استمرارية الأعمال. ومع ذلك ، لا يصف أي من ISO 27001 أو ISO 27002 كيفية تنفيذ إدارة استمرارية الأعمال ، لذلك من الأفضل استخدام ISO 22301 (BS 25999-2 سابقًا) لهذا الغرض. علاوة على ذلك ، يحتوي ISO 27001 و ISO 22301 على عناصر متطابقة تقريبًا (إدارة التوثيق ، والتدقيق الداخلي ، ومراجعة الإدارة ، والإجراءات التصحيحية والوقائية) ، لذا فإن هذه المعايير متوافقة تمامًا. تعلم المزيد هنا ...

هل يمكن تطبيق ISO 22301 بدون ISO 27001؟
نعم - في هذه الحالة ، سيكون التركيز على كيفية ضمان توافر المعلومات والعمليات التجارية في حالة وقوع كارثة ، وما إلى ذلك ، ولكن ليس على ضمان سرية وسلامة المعلومات.

لقد قمنا بتنفيذ ISO 9001 ؛ هل يمكن استخدام بعضها لمعيار ISO 27001 / ISO 22301؟
قطعاً! بعض أجزاء ISO 27001 / ISO 22301 (سابقًا BS 25999-2) و ISO 9001 هي نفسها تقريبًا - على سبيل المثال ، إدارة الوثائق والتدقيق الداخلي ومراجعة الإدارة والإجراءات التصحيحية. إذا تم استخدام الإجراءات المذكورة بالفعل لمعيار ISO 9001 ، فيمكن استخدامها أيضًا لمعيار ISO 27001 / ISO 22301 مع تغييرات طفيفة فقط. بمعنى آخر ، المنظمات التي طبقت بالفعل ISO 9001 سيكون لديها مهمة أسهل في تنفيذ ISO 27001 / ISO 22301 (والعكس صحيح). تعلم المزيد هنا ...

كم من الوقت يستغرق تطبيق ISO 27001 / ISO 22301؟
يعتمد هذا حقًا على عدد كبير من العوامل ، ولكن بشكل عام ، قد تحتاج المنظمات الأصغر من 3 إلى 6 أشهر ، وستحتاج المنظمات التي تضم ما يصل إلى 500 شخص من 8 إلى 12 شهرًا ، والمنظمات الأكبر 12 شهرًا أو أكثر. استخدم حاسبة مدة التنفيذ هذه لحساب المدة بدقة أكبر.

هل يجب تنفيذ ISO 27001 / ISO 22301 في جميع أنحاء المنظمة بأكملها؟
لا ، فمن الممكن تحديد نطاق التنفيذ لجزء واحد فقط من المنظمة ، وهو أمر منطقي في حالة المنظمات الأكبر التي تعمل في عدد من المواقع المختلفة و / أو في بلدان مختلفة. بالنسبة للمؤسسات الصغيرة التي تقوم بأعمال تجارية في عدد أقل من المواقع ، فمن الأفضل تنفيذ المعيار للمؤسسة بأكملها. تعلم المزيد هنا ...

لقد سمعنا أن ISO 27001 مصحوب بوثائق مستفيضة لن تؤدي إلا إلى إبطاء أعمالنا اليومية - هل هذا صحيح؟

صحيح أن ISO 27001 يتطلب بعض المستندات الإلزامية ، لكن عددها يعتمد على حجم وتعقيد المنظمة - فالمؤسسة الصغيرة التي لا تتطلب متطلبات أمنية كبيرة ستحتاج فقط إلى عشرات المستندات ؛ قد يتطلب بنك كبير عدة مئات من الوثائق. الشيء المهم عند إعداد الوثائق هو تحديد القواعد المطلوبة حقًا للمؤسسة فقط ، حتى لا تبطئ العمليات التجارية. يمكنك العثور على قائمة المستندات الضرورية هنا.

هل أمن تكنولوجيا المعلومات وأمن المعلومات شيء واحد؟
لا ، يعتبر أمن تكنولوجيا المعلومات جزءًا من أمن المعلومات - يشمل أمن تكنولوجيا المعلومات ، على سبيل المثال ، إجراءات النسخ الاحتياطي أو استخدام جدار الحماية ، بينما يشمل أمن المعلومات أيضًا تعريف الأدوار والمسؤوليات الأمنية وإجراءات التشغيل والتدريب والوعي والعلاقات القانونية مع الموظفين و الموردين ، والأمن المادي ، وما إلى ذلك ، يمثل أمن تكنولوجيا المعلومات عادةً 50٪ من أمن المعلومات. تعلم المزيد هنا ...

ما هي تكلفة تطبيق ISO 27001؟
يكاد يكون من المستحيل حساب التكلفة قبل الانتهاء من تقييم المخاطر وبيان قابلية التطبيق. لا تتعلق غالبية النفقات عادةً بالأجهزة أو البرامج ، ولكن تتعلق بتطوير الإجراءات وتشغيلها ورفعها.

وعي الموظف وتدريب الموظفين ، والشهادات ، وما إلى ذلك. تعتمد التكاليف أيضًا على حجم الشركة ، ولكن من الجيد معرفة أنه لا يجب تنفيذ جميع الضوابط الأمنية على الفور ، وأن تنفيذ بعضها قد يتم تأجيله.