ISO 27001 والتحسين المستمر

تحدد المواصفة القياسية ISO/IEC 27001:2013 متطلبات إنشاء نظام إدارة أمن المعلومات (ISMS) وتنفيذه وصيانته وتحسينه باستمرار.

كلفت  ISO 27001: 2005نهج  Plan-Do-Check-Act (PDCA)للتحسين المستمر، ولكن مع تقديم الإصدار الجديد من ISO 27001  في سبتمبر 2013، أصبحت هناك منهجيات أخرى غير PDCA مقبولة الآن.

يجب على المؤسسات التي تنتقل إلى المعيار الجديد أن تكون على دراية بأن “التحسين المستمر” في ISO 27001: 2013 قد تم تمديده ليشمل مدى ملاءمة وكفاية نظام إدارة أمن المعلومات (ISMS) وكذلك فعاليته، ولكنه لم يعد يحدد كيف يمكن للمؤسسة تحقيق ذلك. يمكن أيضًا استخدام منهجيات أخرى مثل Lean و Kaizenو Six Sigma

تنص الفقرة 10.2 في المعيار الجديد على متطلبات التحسين المستمر. بالنسبة للمؤسسات التي لديها نظام إدارة أمن معلومات (ISMS) قائم، قد يكون التغيير لإزالة متطلبات نموذج PDCA ضئيلاً – ولكن عملية PDCA لا تزال صالحة.

أما بالنسبة للمؤسسات التي ستبدأ تنفيذ نظامISMS  جديداً، فستحتاج إلى تحديد أفضل عملية تحسين مستمر لأعمالها، إذا لم يكن أحدها موجودًا بالفعل. بالنسبة لمعظم المؤسسات، ستظل PDCA طريقة عملية وسليمة للتطبيق.

ينص البندان 5.1 و 5.2 على أن قيادة المنظمة ستشجع التحسين المستمر، وتتطلب تضمين هذا الالتزام بالتحسين المستمر في سياسة أمن المعلومات.

ينص البند 9.3 على أن تقوم الإدارة العليا بمراجعة نظام إدارة أمن المعلومات في المنظمة على فترات زمنية محددة لضمان استمراريتها وملاءمتها وفعاليتها. “يجب أن تتضمن نواتج المراجعة الإدارية القرارات المتعلقة بفرص التحسين المستمرة وأي احتياجات للتغييرات في نظام إدارة أمن المعلومات.”

وأخيرا، ينص البند 6.1.1 من المعيار الجديد، الذي يغطي التخطيط، على ما يلي:

“عند التخطيط لنظام إدارة أمن المعلومات، يجب على المنظمة النظر في القضايا المشار إليها في 4.1 (المنظمة وسياقها) والمتطلبات المشار إليها في 4.2 (احتياجات وتوقعات الأطراف المعنية) وتحديد المخاطر والفرص التي يجب أن يتم توجيهها إلى:

أ) ضمان أن نظام إدارة أمن المعلومات يمكن أن يحقق النتيجة (النتائج) المرجوة

ب) منع أو تقليل الآثار غير المرغوبة

ج) تحقيق تحسن مستمر

تضع ISO 27001: 2013 تركيزًا أكبر على التحسين المستمر، ويجب على المنظمات الاستمرار في صيانة وتشغيل نظام ISMS الخاص بها أثناء عملية النقل.

شاهد مجاناً – سلسلة محاضرات ISO 27001 عبر الإنترنت

لدى المنظمات في دول مجلس التعاون الخليجي (GCC) عددًا متزايدًا من قوانين وأنظمة أمن البيانات للتوافق معها.

يمكن لتطبيق نظام إدارة أمن المعلومات (ISMS) المعتمد للمعيار الدولي ISO 27001، أن يساعد المؤسسات على الامتثال للمتطلبات القانونية والتنظيمية سواء في دول مجلس التعاون الخليجي أو على المستوى الدولي، مثل GDPR (لائحة حماية البيانات العامة للاتحاد الأوروبي)، وتجنب العقوبات والخسائر المرتبطة بخرق البيانات.

ولمزيد من المعلومات عن المعيار الجديد وكيفية تطبيقه، يمكنكم مشاهدة سلسلة من محاضرات ISO 27001 المجانية الجديدة والمثيرة والتي يقدمها خبراء أيزو 27001 بشركة “آي تي غفرننس”.

المحاضرات أقيمت باللغة الإنجليزية وهي مصممة خصيصا لدعم المؤسسات في المملكة العربية السعودية، والكويت، والإمارات العربية المتحدة، وقطر، والبحرين، وسلطنة عمان مع التزاماتها بالامتثال.

لمشاهدة وتحميل المحاضرات:

Free webinar: How to implement an information security management system (ISMS)

Free webinar: How to overcome data security compliance challenges in the GCC countries

Free webinar: earn how to conduct a cyber security risk assessment in line with ISO 27001


احصل على خصم 10% على الدورة التدريبية ISO27001 Certified ISMS Lead Auditor Training Course عند الحجز عن طريق الموقع الإلكتروني والتي ستقام في دبي في ديسمبر 2018