رحلة مع المواصفة القياسية ISO 27001

الكاتب مهندس: سعيد بن حمود الزهرانى

المقدمة Introduction :

يتبوأ موضوع الجودة أهمية كبيرة في مجال الإنتاج الصناعي والخدمي على حد سواء ، إذ لايمكن لأي منتوج أن ينافس المنتجات الأخرى المنافسة مالم يكن بالمستوى والجودة التي يفوق بها المنتجات المنافسة أو البديلة .

فلم تعد الجودة مجرد معايير تميز المنتوج . ولا أسلوباً يتم من خلاله التعرف على مدى مطابقة المنتوج النهائي لهذه المعايير فحسب ، وإنما ذهبت إلى أبعد من ذلك لتشمل الاستخدام الأمثل للموارد المادية والبشرية واستبعاد كل معيب من أول خطوة في الإنتاج. كما إن تحقيق الجودة هو مسؤولية الجميع بدءاً من الإدارة العليا وأفراد المنظمة والمجهز وإن تحسين الجودة يؤدي إلى رفع مستوى الإنتاجية والتخلص من التكاليف الناجمة من إعادة تصنيع المنتجات المتضررة والتالفة لكي تصبح جاهزة ، وبالتالي الحصول على أقصى الأرباح والحصة السوقية الأكبر وعليه فإن الجودة تعد بمثابة السور الواقي الذي لا يمكن اختراقه .

أولاً : المواصفة القياسية ISO 27001:

1- المفهوم :

يشكل العدوان على البيئة المعلوماتية الوجه القبيح للتقنية الحديثة ، فالجرائم المتحققة عن هذا العدوان تتميز عن الجرائم العادية بسرعتها الفائقة وتأثيرها المدمر ، وقدرة مرتكبيها على الإفلات من الملاحقة والعقاب في ظل افتقاد كثير من الدول أنظمة قانونية قادرة على التعامل مع هذا العدوان والجرائم الناجمة عنه ، وتشير الإحصائيات الدولية إلى أن هناك أكثر من ملياري شخص مستخدم لأجهزة الحاسب الآلي ، فضلاً عن وجود أكثر من (13) مليار صفحة على شبكة المعلومات الدولية (الانترنت) ونحو (300) مليون موقع عليها . هكذا اتسعت البيئة المعلوماتية لتصبح ميداناً فسيحاً للعدوان عليها ولتشكل تحدياً رهيباً لمختلف الأجهزة في مواجهة هذا العدوان وما ينجم عنه من جرائم ، حيث إن ما نسبته (24% إلى 42% ) من المنظمات في القطاعين الحكومي والخاص كانت ضحية لجرائم مرتبطة بالتقنية الحاسوبية ، وأن (145 إلى 730) مليون دولار سنوياً خسارة (72) شركة بسبب جرائم الحاسب الآلي ، وبينت دراسة للأمم المتحدة عن مخاطر الحاسب الآلي أن (73%) من الجرائم داخلي ، (23%) منها يرجع إلى مصادر خارجية وقدرت الخسائر الاقتصادية لهذه الجرائم عام (1993م) بنحو (2) مليار دولار ، وفي دراسة عن حالات الاختراق كوجه من أوجه العدوان على أجهزة الحكومة الامريكية لعام 1995م وجد أن هناك (250000) حالة اختراق ، 64% منها ناجحة ، وأن (1%) إلى (4%) منها تم اكتشافه .

ومن أجل مواجهة هذا العدوان على البيئة المعلوماتية أصدرت المنظمة الدولية للمواصفات والمقاييس العالمية المواصفة القياسية ISO 27001 المختصة بإدارة أمن المعلومات ، ويأتي ISO 27001 كمقابل للمعيار البريطاني المعروف ببوليفيانو BS-7799ويوضح الشكل (9-1) في أدناه نموذج لشهادة المطابقة مع المعيار البريطاني BS-7799

شهادة المطابقة مع المواصفة القياسية ISO 27001.

إن الفكرة الرئيسة للمواصفة القياسية ISO 27001تستند على مباديء وفلسفة إدارة الجودة الشاملة TQM، إذ إنها تعتمد بشكل أساسى على حلقة ديمنك Demingإذ يسمى نموذج المواصفة بـ (PDCA) Plan-Do-Check-Act ، وكما موضح في الشكل (9-3) ويمكن تعريف الخطوات الأربعة المكونة للنموذج كما يأتي :

· إنشاء نظام إدارة أمن المعلومات (ISMS).

· تنفيذ وتشغيل (ISMS) .

· المحافظة على (ISMS) والعمل على تحسينه .

· مراقبة ومراجعة (ISMS) .

المواصفة القياسية ISO 27001وفقاً لحلقة ديمنك Deming

2- نشأة المواصفة القياسية ISO 27001:

إن المعيار الدولي السابق لأمن المعلومات كان يعرف باسم بوليفيانو BS 7799 والذي نشره معهد المقاييس البريطاني (BSI) في عام 2000 . وهو من جزئين الجزء الأول يعرف بمعيار part1 7799ويتضمن قواعد وخطوات إدارة أمن المعلومات كما تضمن المتطلبات الكلية لأمن المعلومات عن طريق أحد عشر جزءاً . وبذلك فإن المعيار 1-7799 يعد أول معيار دولي لأمن المعلومات ، أما الجزء الثاني فيعرف

بـ 2-7799أو معيار إدارة أمن المعلومات وتضمن مجموعة من المواصفات مع ارشادات لاستخدامها ، وكان يرمي إلى إدارة أمن المعلومات . أن هذا المعيار قد أستخدم داخل بريطانيا العظمى وأوروبا من قبل مئات المنظمات وحتى العام 2004. في عام 2005 المنظمة الدولية للتوحيد القياسي (أيزو) طالبت المهتمين بأمن المعلومات بتحديث أيزو bs 7799:2000، ويحمل إسم المنظمة الدولية للتوحيد ولقد اعتمدت في ذلك على الجزء الثاني من بوليفيانو bs 7799وبعد إجراء مجموعة من المشاورات صدرت المواصفة القياسية آيزو 17799:2005أو ما يعرف باسم أيزو 27001وهي مصممة للاستخدام من قبل أي منظمة في أي صناعة بيد أن العديد من المنظمات الصغيرة قد تواجهها بعض المشاكل تتمثل في عدم تمكنها من تلبية بعض الاحتياجات الخاصة بتدابير الدعم الدولية نظراً لمحدودية الموارد والقوى البشرية .

3- عائلة المواصفة القياسية ISO 27001:

1- أيزو 27001: تتضمن تدابير الدعم الدولية .

2- أيزو 27002: متوافقة مع آيزو 17799.

3- أيزو 27003: تتضمن توجيهات لتنفيذ تدابير الدعم الدولية .

4- أيزو 27004: تتضمن إجراءات لإدارة تدابير الدعم الدولية .

5- أيزو 27005: تتضمن آليات أمن المعلومات وإدارة المخاطر.

6- أيزو 27006: تتضمن المعلومات والمبادئ الموجهة لإنعاش التكنولوجيا وخدمات الاتصالات بعد الكوارث.

ويمكن توضيحها من خلال الشكل أدناه:

4- متطلبات تطبيق المواصفة القياسية ISO 27001:

إن عملية تبني الـ(ISMS) لمتطلبات المواصفة القياسية ISO 27001 تعد خطوة مثالية لبناء أمن فاعل لإدارة المعلومات في المنظمة ، وهذه العملية قد تتسم بالتعقيد إن لم تكن هناك خطوات محددة من خلالها تتم عملية التبني بسهولة وكما موضح في الشكل (9-5) أدناه ، لذلك جاء الدليل الإرشادي للمواصفة القياسية ISO 27001ليوضح أهم متطلبات تطبيقها ، والتي حددها بما يأتي :

1- التعريف بحدود ونطاق الـ(ISMS) :يجب أن يحدد في ضوء المواصفات الخاصة بأنظمة معلومات المنظمة من ناحية الحجم والمصادر والأنواع ، مع الأخذ بنظر الاعتبار لاحتياجات التنظيمية والتشريعية للمنظمة .

2- وضع إستراتيجية لـ(ISMS) :تتمثل بمجموعة من الإجراءات والخطوات اللازمة لتطبيق الـ(ISMS) ويعد العامل الرئيس للنجاح في هذه المرحلة هو دعم الإدارة العليا لإستراتيجية الـ(ISMS) .

3- تحديد المخاطر واكتشافها :يجب أن تحدد طريقة منهجية (Methodology) ومدخل مناسب لاكتشاف المخاطر .

4- التمييز بين المخاطر :العمل على التمييز بين الأنواع المختلفة للمخاطر التي تهدد أمن المعلومات.

5- فهم وتقييم المخاطر:تقييم المخاطر الحالية والمحتملة من أجل ضمان الاستخدام الأكثر فعالية للموارد المتاحة .

6- تقييم خيارات معالجة المخاطر.

7- اختيار أهداف الرقابة المناسبة .

8- الحصول على موافقة الإدارة فيما يخص المخاطر المثبتة .

9- الحصول على موافقة الإدارة في تنفيذ الـ(ISMS).

10- البدء بالتطبيق :تنطوي هذه المرحلة على أعداد بيان التطبيق . والذي يصف الوثائق المختارة ومراقبة الأهداف وضوابط وأسباب الاختيار أو الاستبعاد .

خطوات تطبيق متطلبات المواصفة القياسية ISO 27001

5- أبعاد المواصفة القياسية ISO 27001:

إن الأبعاد المكونة للمواصفة القياسية ISO 27001تتمثل بما يأتي :

· سياسة الأمن security policy:يعمل هذا البعد على توثيق أهداف الـ(ISMS) لمساعدة إدارة المنظمة على تقديم الدعم والتوجيه المناسبين.

· تنظيم أمن المعلومات organization of Information security:يمكن هذا البعد إدارة المنظمة من فرض سيطرة أمنية على كل المعلومات الخاصة بها والتي تقع تحت نطاق سيطرتها ، عن طريق مجموعة من السياسات والإجراءات والمهام الأمنية والمسؤوليات .

· إدارة الموجودات Asset Management:يعمل هذا البعد على إدارة كل الموجودات الطبيعية والفكرية من خلال تقديم الحماية الملائمة لها ، وذلك عن طريق تحديد ملكية ومسؤولية حماية مصادر المعلومات.

· أمن الموارد البشرية Human Resourcec Security:الغرض من هذا البعد هو تقليل المخاطر الناجمة عن الأخطاء البشرية ويمكن إدارة الموارد البشرية من تقييم أداء كل العاملين في المنظمة بصورة أكثر فاعلية عن طريق المسؤوليات الأمنية المحددة لكل العاملين وضمن مواقعهم في التنظيم .

· الأمن الطبيعي والبيئي Physical & Environmental Security: يساهم هذا البعد في تأمين المناطق المادية (تسهيلات معالجة المعلومات) وبيئة العمل داخل المنظمة في إدارة أمن المعلومات بصورة فاعلة . إذ أن أي عنصر يقع ضمن نطاق عمل المنظمة من تسهيلات وعاملين وزبائن ومجهزين يؤدي دوراً مهم في نجاح عملية حماية أمن المنظمة .

· إدارة العمليات والاتصالات Communication & Operations:Management: يوفر هذا البعد مجموعة من التسهيلات المتمثلة بـ(التسليم الآمن ، وإدارة العمليات اليومية بصورة آمنة ، ووسائل تشغيل البيانات والشبكات ) .

· السيطرة على الدخول Access Control: إن السيطرة على عمليات دخول العاملين لنظام المعلومات ، يعد بعداً رئيساً في حماية معلومات المنظمة وحمايتها من الاختراقات الشبكية .

· تطوير أنظمة أمن المعلومات وصيانتها Information Systems:Acquisition Development& Maintenance: يهدف هذا البعد إلى تأكيد الأمن في نظم المعلومات والعمل على توفير متطلبات المحافظة عليها وصيانتها .

· الإدارة العرضية Incident Management:يساعد هذا البعد على مواجهة الحالات الطارئة وتحديد مواقع الضعف في إدارة أمن المعلومات وتقدم الحلول المناسبة من خلال بناء نظام اتصال فاعل بين المستويات التنظيمية المختلفة .

· إدارة استمرارية العمل Business Continuity Management:يسمح هذا البعد بوجود مرونة مناسبة تسمح بمواجهة حالات الكوارث الطبيعية وحالات الفشل والعراقيل غير المتوقعة تساعد على استمرارية أنشطة حماية المعلومات .

· الالتزام Compliance:يسعى هذا البعد إلى تجنب أي ثغرات أو اختراقات لأي قوانين أو تشريعات مدنية أو جنائية ويعرف الالتزامات المتعاقد عليها ومتطلبات سياسات الأمن التنظيمية وفعاليات عمليات مراجعة النظام والإجراءات الأمنية .

6- فوائد المواصفة القياسية ISO 27001:

إن أهم الفوائد المتحققة من جراء استخدام المواصفة القياسية ISO 27001لإدارة أمن المعلومات تتمثل بما يأتي :

· تقدم هيكلية عامة تمكن المنظمة من تطوير وتنفيذ نشاطات إدارة أمن المعلومات بصورة فاعلة .

· تقديم مدخل الخطر المعتمد (Risk-Based) والذي يعد نشاط أساسي ضمن هيكل تخطيط وتنفيذ الـ(ISMS) وينتج عنه زيادة فاعلية المستوى الأمني للمنظمة .

· التأكيد على استخدام الأشخاص المؤهلين والعمليات والإجراءات والتقنيات المناسبة لحماية مصادر المعلومات.

· توفر حماية للمعلومات بكل موثوقية وسلامة وأتاحية .

· تعد مكملة للمجموعة من المواصفات القياسية المستخدمة في مجال إدارة الأعمال مثل ISO 9001.

تحليل نظام إدارة الأمن في المنشأة

1- تحديد أهم المخاطر على إدارة الحاسب الآلي .

2- توضح أهمية تنفيذ إغلاق تلك المخاطر على المنشأة .

3- توضح المشاكل التي سوف تحدث عند عدم تطبيق إغلاق تلك المخاطر.

4- وضع خطة توضح أهم الأهداف المستقبلية لإغلاق تلك المخاطر .

5- تنفيذ هذه الخطة .

6- قياس تنفيذ تلك الخطة .

7- تحسين تنفيذ أهداف الخطة ثم إدارة كتابة الخطة .

مقارنة بين بنود المواصفة القياسية الدولية 9001

والمواصفة الدولية 27001