إدارة الأصول ضمن معايير آيزو 27001
لسوء الحظ ، إذا قمت بالفعل بتطوير سجل الأصول الثابتة ، فلن يكون كافيًا للامتثال مع ISO 27001 - يختلف مفهوم جرد الأصول (يسمى أحيانًا سجل الأصول) في أمن المعلومات تمامًا عن مفهوم الأصول ال...
لسوء الحظ ، إذا قمت بالفعل بتطوير سجل الأصول الثابتة ، فلن يكون كافيًا للامتثال مع ISO 27001 - يختلف مفهوم جرد الأصول (يسمى أحيانًا سجل الأصول) في أمن المعلومات تمامًا عن مفهوم الأصول الثابتة التسجيل في المحاسبة. فيما يلي شرح موجز لإدارة الأصول ISO 27001.
يتم تعريف إدارة الأصول ISO 27001 في المعيار من خلال هذه الضوابط الثلاثة:
أ / 5/9 - جرد المعلومات والأصول الأخرى المرتبطة بها
A.5.10 - الاستخدام المقبول للمعلومات والأصول الأخرى المرتبطة بها
A.5.11 - إرجاع الأصول
ما هي الأصول وفقًا لمعيار ISO 27001؟
أولاً ، دعنا نوضح ما تعنيه الأصول في سياق ISO 27001 - الغريب بما فيه الكفاية ، لا مراجعة 2022 ISO / IEC 27001 ، ولا مراجعة 2018 ISO / IEC 27000 ، تعطي تعريفًا للأصول ، ولكن مراجعة 2005 لـ ISO / تعرّف المواصفة القياسية الدولية IEC 27001 الأصل على أنه "أي شيء له قيمة بالنسبة للمؤسسة".
نظرًا لأن ISO 27001 يركز على الحفاظ على سرية المعلومات وسلامتها وتوافرها ، فإن هذا يعني أن الأصول يمكن أن تكون:
الأجهزة - على سبيل المثال ، أجهزة الكمبيوتر المحمولة والخوادم والطابعات وكذلك الهواتف المحمولة أو وحدات ذاكرة USB.
البرامج - ليس فقط البرنامج الذي تم شراؤه ، ولكن أيضًا البرامج المجانية.
المعلومات - ليس فقط في الوسائط الإلكترونية (قواعد البيانات والملفات بتنسيق PDF و Word و Excel وتنسيقات أخرى) ، ولكن أيضًا في الورق وأشكال أخرى.
البنية التحتية - على سبيل المثال ، المكاتب والكهرباء وتكييف الهواء - لأن هذه الأصول يمكن أن تسبب نقصًا في توافر المعلومات.
يعتبر الأشخاص أيضًا أصولًا لأن لديهم أيضًا الكثير من المعلومات في رؤوسهم ، والتي لا تتوفر في كثير من الأحيان في أشكال أخرى.
خدمات الاستعانة بمصادر خارجية - على سبيل المثال ، الخدمات القانونية أو خدمات التنظيف ، ولكن أيضًا الخدمات عبر الإنترنت مثل Dropbox أو Gmail - صحيح أن هذه ليست أصولًا بالمعنى الخالص للكلمة ، ولكن يجب التحكم في هذه الخدمات بشكل مشابه جدًا للأصول ، لذا فهي غالبًا ما يتم تضمينها في إدارة الأصول.
ما هي إدارة الأصول في ISO 27001؟
على الرغم من أن ISO 27001 ليس لديها تعريف رسمي لإدارة الأصول ، إلا أن لديها ثلاثة ضوابط محددة في الملحق أ الخاص بها لضمان الإدارة السليمة للأصول (والتي يمكن فهمها في سياق ISO 27001 على أنها تضمن حماية الأصول بينما يكون الأصل مهمًا للمؤسسة ):
A.5.9 - جرد المعلومات والأصول الأخرى ذات الصلة: يجب تحديد جميع المعلومات والأصول ذات الصلة وأن يكون مالكها مسؤولاً عن حماية سرية المعلومات وسلامتها وتوافرها. تعتبر ملكية الأصول أحد المفاهيم الأساسية في ISO 27001.
A.5.10 - الاستخدام المقبول للمعلومات والأصول الأخرى المرتبطة بها: يجب تحديد قواعد الاستخدام السليم للأصول وتوثيقها وتنفيذها.
A.5.11 - إعادة الأصول: عند إنهاء العلاقات التجارية ، يحتاج جميع المستخدمين الذين يمتلكون أصول معلومات إلى إعادتها إلى المنظمة.
لماذا تعتبر الأصول مهمة لإدارة أمن المعلومات؟
هناك سببان لأهمية إدارة الأصول:
1) تُستخدم الأصول عادةً لإجراء تقييم المخاطر - على الرغم من أنها ليست إلزامية وفقًا لمعيار ISO 27001: 2022 ، إلا أن الأصول عادةً ما تكون العنصر الأساسي لتحديد المخاطر ، جنبًا إلى جنب مع التهديدات ونقاط الضعف. راجع أيضًا ISO 27001 لتقييم المخاطر ومعالجتها وإدارتها: الدليل الكامل.
2) إذا كانت المنظمة لا تعرف الأصول التي تمتلكها ، ومن المسؤول عنها ، وكيف يجب التعامل معها ، فستحدث الفوضى.
هذا هو السبب في أن ISO 27001: 2022 تتطلب إدارة الأصول.
كيفية بناء جرد الأصول؟
إذا لم تقم بتطوير مخزون الأصول الخاص بك سابقًا ، فإن أسهل طريقة لإنشائه هي أثناء عملية تقييم المخاطر الأولية (إذا اخترت منهجية تقييم المخاطر القائمة على الأصول) ، لأن هذا هو الوقت الذي يلزم فيه تحديد جميع الأصول ، مع أصحابها.
أفضل طريقة لإنشاء جرد للأصول هي إجراء مقابلة مع رئيس كل قسم ، وإدراج جميع الأصول التي يستخدمها القسم. الأسهل هو تقنية "وصف ما تراه" - بشكل أساسي ، اطلب من هذا الشخص ، على سبيل المثال ، سرد جميع البرامج التي يراها أو أنها مثبتة على الكمبيوتر ، وجميع المستندات الموجودة في مجلداته وخزائن الملفات ، وكلها الأشخاص الذين يعملون في القسم ، وجميع المعدات التي تظهر في مكاتبهم ، وما إلى ذلك.
بالطبع ، إذا كان لديك بالفعل بعض قوائم جرد الأصول الحالية (على سبيل المثال ، سجل الأصول الثابتة ، وقائمة الموظفين ، وقائمة البرامج المرخصة ، وما إلى ذلك) ، فلن تضطر إلى تكرار هذه القوائم - الأفضل هو الرجوع إلى قوائمك الأخرى. قوائم من سجل أصول أمن المعلومات الخاص بك.
لا يحدد ISO 27001 التفاصيل التي يجب إدراجها في جرد الأصول - يمكنك فقط سرد اسم الأصل ومالكه ، ولكن يمكنك أيضًا إضافة بعض المعلومات المفيدة الأخرى ، مثل فئة الأصل وموقعه وبعض الملاحظات وما إلى ذلك.
عادةً ما يتم إنشاء سجل الأصول بواسطة الشخص الذي ينسق مشروع تنفيذ ISO 27001 - في معظم الحالات ، يكون هذا هو كبير مسؤولي أمن المعلومات ، ويقوم هذا الشخص بجمع جميع المعلومات والتأكد من تحديث المخزون.
من يجب أن يكون مالك الأصول؟
عادة ما يكون المالك هو الشخص الذي يقوم بتشغيل الأصل ويتأكد من حماية المعلومات المتعلقة بهذا الأصل. على سبيل المثال ، يمكن لمالك الخادم أن يكون مسؤول النظام ، ويمكن أن يكون مالك الملف هو الشخص الذي أنشأ هذا الملف ؛ بالنسبة للموظفين ، يكون المالك عادةً هو الشخص الذي يكون المشرف المباشر عليهم.
بالنسبة للأصول المماثلة التي يستخدمها العديد من الأشخاص (مثل أجهزة الكمبيوتر المحمولة أو الهواتف المحمولة) ، يمكنك تحديد أن مالك الأصل هو الشخص الذي يستخدم الأصل ، وإذا كان لديك أصل واحد يستخدمه العديد من الأشخاص (على سبيل المثال ، برنامج ERP) ، إذن يمكن لمالك الأصول أن يكون عضوًا في مجلس الإدارة الذي يتحمل المسؤولية في جميع أنحاء المنظمة بأكملها - في هذه الحالة الخاصة بتخطيط موارد المؤسسات (ERP) ، يمكن أن يكون هذا هو كبير مسؤولي المعلومات.