مقدمة:
يُعدُّ أمن تكنولوجيا المعلومات، والأمن السيبرانـي، وحماية الخصوصية، أمرًا حيويًّا للشركات والمؤسسات اليوم، وتحافظ مجموعة أكواد ISO/IEC 27000 على سلامتها.
ISO / IEC 27001 هو المعيار الأكثر شهرةً في العالم لأنظمة إدارة أمن المعلومات information security management systems (ISMS) ومتطلباتها، وتتمُّ تغطية أفضل الممارسات الإضافية في حماية البيانات والمرونة الإلكترونية بأكثر من اثني عشر كودًا في مجموعة أكواد ISO / IEC 27000 معًا، فإنَّها تُمكِّن المؤسسات من جميع القطاعات والأحجام من إدارة أمن الأصول؛ مثل: المعلومات المالية، والملكيَّة الفكرية، وبيانات الموظفين، والمعلومات الموكلة من قِبَلِ أطراف ثالثة.
ما ISO / IEC 27001؟
يُوفِّر معيار ISO / IEC 27001 للشركات من أي حجمٍ، ومن جميع قطاعات النشاط- إرشادات لإنشاء وتنفيذ وصيانة وتحسين نظام إدارة أمن المعلومات باستمرار، ويعني التوافق مع معيار ISO/IEC 27001 أنَّ المؤسسة أو الشركة قد وضعت نظامًا لإدارة المخاطر المتعلقة بأمن البيانات المملوكة، أو الَّتي تتعامل معها الشركة، وأنَّ هذا النظام يحترم جميع الممارسات والمبادئ المنصوص عليها في هذه المواصفة القياسيَّة الدولية.
وعلى الرغم من أنه يُشَار إليه أحيانًا باسم ISO 27001، إلا أنَّ الاختصار الرسمي للمعيار الدولي لمتطلبات إدارة أمن المعلومات هو: ISO / IEC 27001، وذلك لأنه تمَّ نَشْره بشكل مشترك من قِبَلِ ISO، واللجنة الكهرتقنية الدولية International Electrotechnical Commission (IEC)، ويشير الرقم إلى أنه تمَّ نَشرُهُ تحت مسؤولية اللجنة الفرعية 27 (بشأن أَمْن المعلومات، والأمن السيبرانـي، وحماية الخصوصية) التابعة للجنة الفنية المشتركة لتكنولوجيا المعلومات التابعة للمنظمة الدولية للتوحيد القياسي، واللجنة الكهرتقنية الدولية Technical Committee on Information Technology (ISO / IEC JTC 1).
لماذا يعتبر ISO / IEC 27001 مُهمًّا؟
مع تزايد الجرائم الإلكترونية، وظهور تهديدات جديدة باستمرار، قد يبدو من الصعب أو حتى المستحيل إدارة المخاطر السيبرانيَّة، ويساعد المعيار ISO/IEC 27001 المؤسسات على إدراك المخاطر، وتحديد نقاط الضعف، ومعالجتها بشكل استباقيٍّ.
وتُعزِّز ISO / IEC 27001 نهجًا شاملًا لأمن المعلومات: فحص الأشخاص والسياسات والتكنولوجيا، ونظام إدارة أمن المعلومات الذي يتمُّ تنفيذه وَفْقًا لهذا المعيار هو أداة لإدارة المخاطر، والمرونة الإلكترونية، والتميُّز التشغيلي.
مَنْ يحتاج للحصول على ISO / IEC 27001؟
في الوقت الحاضر، تُعدُّ سرقة البيانات، والجرائم الإلكترونية، والمسؤولية عن تسريبات الخصوصية من المخاطر التي يحتاج جميع المؤسسات إلى أَخْذها في الاعتبار، ويحتاج أي شركة إلى التفكير بشكل استراتيجي في احتياجاتها من أمن المعلومات، وكيف ترتبط بأهدافها، وعملياتها، وحجمها، وهيكلها، ويُمكِّن معيار ISO / IEC 27001 المؤسسات من إنشاء نظام إدارة أمن المعلومات، وتطبيق عملية إدارة المخاطر التي تتكيَّف مع حجمها واحتياجاتها، وتوسيع نطاقها حسَب الضرورة مع تطوُّر هذه العوامل.
في حين أن تكنولوجيا المعلومات (IT) هي الصناعة التي لديها أكبر عددٍ من الشركات الحاصلة على شهادة ISO / IEC 27001 (ما يقرب من خمس جميع الشهادات الصالحة لـ ISO / IEC 27001 وَفْقًا لمسح ISO 2021)، فإنَّ فوائد هذا المعيار أقنعت الشركات في جميع القطاعات الاقتصادية (جميع أنواع الخدمات والتصنيع وكذلك القطاع الأوَّلي، والقطاع الخاص، والمنظمات العامة وغير الربحية).
وستتأكَّد الشركات التي تتبنَّى النهج الشامل الموضح في ISO / IEC 27001 من أن أمن المعلومات مدمجٌ في العمليات التنظيمية، وأنظمة المعلومات، وضوابط الإدارة يكتسبون الكفاءة، وغالبًا ما يظهرون كقادةٍ في صناعاتهم.
كيف تستفيد المنظمات والشركات من ISO / IEC 27001؟
يساعدك تنفيذ إطار عمل أمن المعلومات المحدد في معيار ISO / IEC 27001 على:
- التقليل من تعرُّضك للتهديد المتزايد للهجمات الإلكترونيَّة.
- الاستجابة للمخاطر الأمنيَّة المتطورة.
- ضمان بقاء الأصول؛ مثل: البيانات المالية، والملكيَّة الفكرية، وبيانات الموظفين، والمعلومات التي عَهِدَ بها أطراف ثالثة غير تالفة، وسريَّة، ومتاحة حسَب الحاجة.
- توفير إطار عمل مُدَار مركزيًّا يؤمن سلامة جميع المعلومات في مكان واحد.
- إعداد الأشخاص والعمليات والتكنولوجيا في جميع أنحاء مُؤسَّستك لمواجهة المخاطر القائمة على التكنولوجيا، والتهديدات الأخرى.
- تأمين المعلومات بجميع أشكالها، بما في ذلك البيانات الورقية، والسحابيَّة، والرقميَّة.
- توفير المال عن طريق زيادة الكفاءة، وتقليل النفقات لتكنولوجيا الدفاع غير الفعَّالة.
ما المبادئ الثلاثة لأمن البيانات التي يوفرها ISO / IEC 27001 التي تعرف برمز CIA؟
- Confidentiality السريَّة:
→ المعنى: يمكن فقط للأشخاص المُصرَّح لهم الوصول إلى المعلومات التي تحتفظ بها المنظمة.
مثال على المخاطر: يحصل المجرمون على تفاصيل تسجيل الدخول لعملائك، ويبيعونها على الشبكة المظلمة.
- Information integrity سلامة المعلومات:
→ المعنى: يتمُّ تخزين البيانات التي تستخدمها المنظمة لمتابعة أعمالها، أو الحفاظ عليها آمنةً من الآخرين بشكل موثوق وسلامتها، وعدم مَسْحها أو إتلافها.
مثال على المخاطر: يقوم أحد الموظفين بحذف صفٍّ في ملف عن طريق الخطأ أثناء المعالجة.
- Availability of data توافر البيانات:
→ المعنى: يمكن للمؤسسة وعملائها الوصول إلى المعلومات كلما كان ذلك ضروريًّا حتى يتم تلبية أغراض العمل وتوقُّعات العملاء.
مثال على المخاطر: قاعدة بيانات المؤسسة الخاصة بك غير متَّصلة بالإنترنت بسبب مشاكل الخادم، وعدم كفاية النسخ الاحتياطي.
ماذا تعني شهادة واعتماد ISO / IEC 27001؟
تُعدُّ شهادة ISO / IEC 27001 إحدى الطرق لتُثْبتَ لأصحاب المصلحة والعملاء أنك ملتزمٌ وقادرٌ على إدارة المعلومات بسلامة وأمان، وقد يجلب الحصولُ على شهادة من هيئة تقييم المطابقة المعتمدة طبقةً إضافيةً من الثقة، حيث قدَّمت هيئة الاعتماد تأكيدًا مستقلًّا لكفاءة هيئة إصدار الشهادات، فإذا كنتَ ترغب في استخدام شعار لإثبات الشهادة، فاتصل بجهة إصدار الشهادات التي أصدرت الشهادة، كما هو الحال في سياقات أخرى، ويجب دائمًا الإشارة إلى المعايير بمرجعيَّتها الكاملة، على سبيل المثال: (معتمد وَفْقًا لمعيار ISO / IEC 27001: 2022).
وكما هو الحال مع معايير نظام إدارة ISO الأخرى، يمكن للشركات التي تُطبِّق ISO / IEC 27001 أن تُقرِّر ما إذا كانت تريد الخضوع لعملية اعتماد، ويختار بعضُ المؤسسات اعتماد المعيار من أجل الاستفادة من أفضل الممارسات التي يحتوي عليها، بينما يرغب البعض الآخر أيضًا في الحصول على شهادة لطَمْأنة العملاء.
ويستخدم ISO / IEC 27001 على نطاقٍ واسعٍ في جميع أنحاء العالم، ووَفْقًا لمسح ISO لعام 2022، تمَّ الإبلاغ عن أكثر من 70,000 شهادة في 150 دولة، ومن جميع القطاعات الاقتصادية، بدءًا من الزراعة، إلى التصنيع، إلى الخدمات الاجتماعية.
الخاتمة:
ISO/IEC 27001 هو المعيار الأكثر شهرةً في العالم لأنظمة إدارة أمن المعلومات (ISMS)، ويُحدِّد المتطلبات التي يجب أن تفي بها ISMS. ، ويحافظ نظام إدارة أمن المعلومات الذي يُلبِّي متطلبات ISO / IEC 27001 على سريَّة المعلومات، وسلامتها، وتوافرها من خلال تطبيقه لعملية إدارة المخاطر، ويمنح الثِّقة للأطراف المهتمَّة بأن المخاطر تتمُّ إدارتها بشكل مناسب.
