كيف يعمل أمن المعلومات ضمن معايير ISO 27001
عند التحدث مع شخص جديد على ISO 27001 ، غالبًا ما يعتقد هذا الشخص أن المعيار سيصف بالتفصيل كل ما يحتاج إلى القيام به - على سبيل المثال ، عدد المرات التي سيحتاجون فيها لإجراء النسخ الاحتياطي ، ومدى بعد موقع التعافي من الكوارث. يجب أن يكون ، أو حتى أسوأ ، نوع التكنولوجيا التي يجب عليهم استخدامها لح...
عند التحدث مع شخص جديد على ISO 27001 ، غالبًا ما يعتقد هذا الشخص أن المعيار سيصف بالتفصيل كل ما يحتاج إلى القيام به - على سبيل المثال ، عدد المرات التي سيحتاجون فيها لإجراء النسخ الاحتياطي ، ومدى بعد موقع التعافي من الكوارث. يجب أن يكون ، أو حتى أسوأ ، نوع التكنولوجيا التي يجب عليهم استخدامها لحماية الشبكة أو كيفية تكوين جهاز التوجيه.
إليك الأخبار السيئة: ISO 27001 لا يصف هذه الأشياء ؛ إنه يعمل بطريقة مختلفة تمامًا. إليكم السبب ...
يمنحك ISO 27001 إطارًا لإلقاء نظرة عامة منتظمة على الأشياء السيئة التي يمكن أن تحدث لك (تقييم المخاطر) ، ثم تحديد الإجراءات الوقائية التي يجب تنفيذها لمنع حدوث تلك الأشياء السيئة (معالجة المخاطر).
لماذا ISO 27001 ليس إلزاميًا؟
دعنا نتخيل أن المعيار ينص على أنك بحاجة إلى إجراء نسخة احتياطية كل 24 ساعة - هل هذا هو الإجراء المناسب لك؟ قد يكون الأمر كذلك ، لكن صدقوني ، ستجد العديد من الشركات في الوقت الحاضر أن هذا غير كافٍ - معدل تغيير بياناتهم سريع جدًا لدرجة أنهم بحاجة إلى عمل نسخة احتياطية إن لم يكن في الوقت الفعلي ، ثم على الأقل كل ساعة. من ناحية أخرى ، لا تزال هناك بعض الشركات التي قد تجد النسخ الاحتياطي مرة واحدة في اليوم في كثير من الأحيان - لا يزال معدل تغييرها بطيئًا للغاية ، لذا فإن إجراء النسخ الاحتياطي في كثير من الأحيان سيكون مبالغًا فيه.
النقطة المهمة هي - إذا كان هذا المعيار يناسب أي نوع من الشركات ، فإن هذا النهج الإلزامي غير ممكن. لذلك ، من المستحيل ببساطة ليس فقط تحديد تردد النسخ الاحتياطي ، ولكن أيضًا أي تقنية يجب استخدامها ، وكيفية تكوين كل جهاز ، وما إلى ذلك.
إدارة المخاطر هي الفكرة المركزية لمعيار ISO 27001
لذلك ، قد تتساءل ، "لماذا أحتاج إلى معيار لا يخبرني بأي شيء ملموس؟"
لأن ISO 27001 يمنحك إطارًا لاتخاذ قرار بشأن الحماية المناسبة. بالطريقة نفسها ، على سبيل المثال ، لا يمكنك نسخ حملة تسويقية لشركة أخرى إلى شركتك ، هذا المبدأ نفسه صالح لأمن المعلومات - تحتاج إلى تكييفها وفقًا لاحتياجاتك الخاصة.
والطريقة التي يخبرك بها ISO 27001 لتحقيق هذه الدعوى المصممة خصيصًا هي إجراء تقييم المخاطر ومعالجة المخاطر. هذا ليس سوى نظرة عامة منهجية للأشياء السيئة التي يمكن أن تحدث لك (تقييم المخاطر) ، ثم تحديد الإجراءات الوقائية التي يجب تنفيذها لمنع حدوث تلك الأشياء السيئة (معالجة المخاطر).
الفكرة بأكملها هنا هي أنه يجب عليك تنفيذ الضمانات (الضوابط) المطلوبة فقط بسبب المخاطر ، وليس تلك التي يعتقد شخص ما أنها خيالية ؛ ولكن ، هذا المنطق يعني أيضًا أنه يجب عليك تنفيذ جميع عناصر التحكم المطلوبة بسبب المخاطر ، وأنه لا يمكنك استبعاد البعض لمجرد أنك لا تحبهم.
تكنولوجيا المعلومات وحدها لا تكفي
إذا كنت تعمل في قسم تكنولوجيا المعلومات ، فمن المحتمل أنك تدرك أن معظم الحوادث تحدث ليس بسبب تعطل أجهزة الكمبيوتر ، ولكن لأن المستخدمين من جانب الأعمال في المؤسسة يستخدمون أنظمة المعلومات بطريقة خاطئة.
ولا يمكن منع مثل هذه المخالفات بالضمانات التقنية فقط - فالمطلوب أيضًا سياسات وإجراءات واضحة ، والتدريب والوعي ، والحماية القانونية ، وإجراءات الانضباط ، إلخ. يتحقق الأمن.
وعندما تأخذ في الاعتبار أنه ليست كل المعلومات الحساسة في شكل رقمي (ربما لا يزال لديك أوراق تحتوي على معلومات سرية عنها) ، فالنتيجة هي أن إجراءات حماية تكنولوجيا المعلومات ليست كافية ، وأن قسم تكنولوجيا المعلومات ، على الرغم من أهميته للغاية في مشروع أمن المعلومات ، لا يمكن تشغيل هذا النوع من المشاريع بمفرده.
مرة أخرى ، يتم التعرف على حقيقة أن أمن تكنولوجيا المعلومات هو 50 ٪ فقط من أمن المعلومات في ISO 27001 - يخبرك هذا المعيار بكيفية تشغيل تنفيذ أمن المعلومات كمشروع على مستوى الشركة حيث لا يقتصر الأمر على تكنولوجيا المعلومات فحسب ، بل أيضًا على الجانب التجاري للمؤسسة يجب أن تشارك.
الحصول على الإدارة العليا على متنها
لكن ، ISO 27001 لا تتوقف عند تنفيذ الضمانات المختلفة - لقد فهم مؤلفوها جيدًا أن الأشخاص من قسم تكنولوجيا المعلومات ، أو من المناصب الأخرى ذات المستوى الأدنى أو المتوسط في المؤسسة ، لا يمكنهم تحقيق الكثير إذا كان المدراء التنفيذيون في القمة لا تفعل شيئا حيال ذلك.
على سبيل المثال ، قد تقترح سياسة جديدة لحماية المستندات السرية ، ولكن إذا لم تنفذ إدارتك العليا مثل هذه السياسة مع جميع الموظفين (وإذا كانوا هم أنفسهم لا يمتثلون لها) ، فلن تحصل مثل هذه السياسة على موطئ قدم في شركتك.
لذلك ، يمنحك ISO 27001 قائمة مراجعة منهجية لما يجب على الإدارة العليا فعله:
وضع توقعات أعمالهم (أهداف) لأمن المعلومات
نشر سياسة حول كيفية التحكم في تلبية هذه التوقعات
تحديد المسؤوليات الرئيسية لأمن المعلومات
توفير ما يكفي من المال والموارد البشرية
راجع بانتظام ما إذا كانت جميع التوقعات قد تحققت بالفعل
عدم السماح للنظام الخاص بك بالتدهور
إذا كنت تعمل في شركة لمدة عامين أو أكثر ، فمن المحتمل أنك تعرف كيف تعمل المبادرات / المشاريع الجديدة - في البداية تبدو لطيفة ولامعة ويحاول الجميع (أو على الأقل معظم الأشخاص) القيام بها. الأفضل لجعل كل شيء يعمل. لكن مع الوقت يتدهور الاهتمام والحماس ، ومعهما يتدهور كل ما يتعلق بمشروع كهذا.
على سبيل المثال ، ربما كان لديك سياسة تصنيف عملت بشكل جيد في البداية ، ولكن في الوقت الذي تغيرت فيه التكنولوجيا ، تغيرت المنظمة وتغير الأشخاص ، وإذا لم يهتم أحد بتحديث السياسة ، فسوف تصبح قديمة. وكما تعلم جيدًا ، لن يرغب أي شخص في الامتثال لوثيقة قديمة ، مما يعني أن أمنك سيزداد سوءًا.
لمنع حدوث ذلك ، وصفت ISO 27001 طريقتين تمنعان مثل هذا التدهور ؛ بل وأكثر من ذلك ، تُستخدم هذه الأساليب لتحسين الأمان بمرور الوقت ، مما يجعلها أفضل مما كانت عليه في الوقت الذي كان فيه المشروع في أعلى مستوياته. تشمل هذه الأساليب المراقبة والقياس والتدقيق الداخلي والإجراءات التصحيحية وما إلى ذلك.
لذلك ، لا يجب أن تكون سلبياً بشأن ISO 27001 - فقد يبدو الأمر غامضًا في القراءة الأولى ، ولكن يمكن أن يكون إطارًا مفيدًا للغاية لحل العديد من مشكلات الأمان في شركتك. علاوة على ذلك ، يمكن أن يساعدك في أداء وظيفتك بسهولة أكبر والحصول على مزيد من التقدير من الأعلى.