فيديو – خطوات تنفيذ نظام إدارة أمن المعلومات ISMS

إذا كانت مؤسستك مهتمة بحماية البيانات، فيجب أن يكون لديها نظام لإدارة أمن المعلومات (ISMS)، ومن خلال هذا المقال سنستعرض سوياً خطوات تنفيذ نظام إدارة أمن المعلومات، كما يمكنكم مشاهدة أو تحميل فيديو للمحاضرة المجانية التي أقيمت عن كيفية تنفيذ نظام إدارة أمن معلومات متوافق مع المعيار أيزو 27001.

نظام إدارة أمن المعلومات (ISMS)

نظام إدارة أمن المعلومات هو نظام يتكون من مجموعة من العمليات والسياسات والوثائق والتكنولوجيا والأشخاص الذين يساعدون المؤسسات على إدارة أمن معلوماتها ومراقبته وتحسينه. توضح المواصفة القياسية ISO 27001 أفضل الممارسات لنظام ISMS، ويعني المصادقة على المعيار أنه يمكنك التأكد من أن الإجراءات الأمنية لمؤسستك فعالة قدر الإمكان.

يمكن أن يكون تنفيذ ISMS عملاً شاقًا، وسيشمل مؤسستك بأكملها، ويمكن أيضا أن يستغرق المشروع من ثلاثة أشهر إلى عام، ولكن يجب أن تضع في الاعتبار أن الوقت المستغرق في تنفيذ المشروع يعتمد كلياً على حجم مؤسستك والتهديدات التي تواجهها والإجراءات التي اتخذتها بالفعل. ومع ذلك، يجب أن يحتوي أي مشروع تنفيذ دائمًا على هذه الخطوات الـ 14:

  1. إجراء تحليل الفجوة

    يساعدك هذا في تحديد مناطق مؤسستك الغير متوافقة مع المواصفة القياسية ISO 27001 وما يجب عليك فعله لتصبح متوافقة.

  2. تحديد نطاق  ISMS

    يتطلب منك تحديد أصول المعلومات الموجودة في مؤسستك التي يجب حمايتها، ويعتبر هذا الإجراء أمراً ضرورياً ويجب أن يتم بشكل صحيح، فتحديد نطاقًا كبيرًا جدًا سيصعِّد الوقت والتكلفة للمشروع، وعلى العكس، تحديد نطاق صغير جدًا سيؤدي إلى ترك مؤسستك عرضة للمخاطر التي لم يتم النظر فيها.

  3. تطوير سياسة أمن المعلومات الخاصة بك

    يجب أن تعكس السياسة وجهة نظر المؤسسة بشأن أمن المعلومات ويتفق عليها مجلس الإدارة.

  4.  إجراء تقييم المخاطر

    تقييمات المخاطر هي جوهر نظام إدارة أمن المعلومات، حيث يقوم المسؤول عن عملية التقييم بتحديد المخاطر التي تواجهها المؤسسة، وتقديرها وتقييمه، كما يساعد تقييم المخاطر في تحديد ما إذا كانت ضوابط المؤسسة ضرورية وفعالة من حيث التكلفة.

  5.  حدد الضوابط الخاصة بك

    يجب تطبيق الضوابط لإدارة أو تقليل المخاطر المحددة في تقييم المخاطر. وتتطلب المواصفة القياسية ISO 27001 من المؤسسات المقارنة بين الضوابط الخاصة بالمؤسسات وقائمة الضوابط الخاصة بالمواصفة التي توضح أفضل الممارسات، والتي ترد في الملحق أ (Annex a)

  6. إنشاء بيان القابلية للتطبيق  (SoA)

    يسرد بيان قابلية التطبيق (SoA) كل الضوابط المحددة في المعيارISO 27001، وتفاصيل ما إذا تم تطبيق كل ضابط من تلك الضوابط وتشرح سبب تضمينه أو استبعاده.

  7. إعداد خطة معالجة المخاطر (RTP)

    تصف خطة معالجة المخاطر (RTP) الخطوات التي يجب على المؤسسة اتخاذها للتعامل مع المخاطر المحددة في تقييم المخاطر.

  8. قم بإنشاء الوثائق الخاصة بك

    تحتاج المنظمات إلى توثيق كل ضابط من الضوابط التي تم تحديدها، وكل مكون من مكونات نظام إدارة أمن المعلومات، وذلك للتأكد من تطبيقها بشكل مستمر، كما يمكن تحسينها إذا لزم الأمر.يعد إنشاء الوثائق أكثر الأجزاء التي تستغرق وقتًا طويلاً في تنفيذ نظام إدارة أمن المعلومات (ISMS). يمكنكم تحميل نسخة تجريبية مجانية من الوثائق والاطلاع على مزيد من المعلومات حولها من خلال الرابط التالي:

    ISO 27001 Documentation Toolkit

  9.  إجراء برامج تدريبية لتوعية الموظفين

    يجب على جميع الموظفين تلقي تدريب منتظم لزيادة وعيهم بقضايا أمن المعلومات والغرض من تنفيذ نظام إدارة أمن المعلومات (ISMS) في المؤسسة التي ينتسبون اليها، مثل الدورة التدريبية التفاعلية Information Security & ISO27001 Staff Awareness e-learning Course.وتتميز هذه الدورة التدريبية بأنها متوفرة عبر الإنترنت، مما يساعد المؤسسات على تقليل نفقات الانتقالات وعدم تعطيل سير العمل اليومي، حيث يمكن للموظفين مشاهدتها أكثر من مرة ومن أي مكان وفي أي وقت.

  10. إجراء التدقيق الداخلي والاختبار الدوري

    لتحديد ما إذا كانت الضوابط تعمل كما ينبغي ، تتطلب المواصفة ISO 27001 من المؤسسات إجراء عمليات تدقيق داخلية منتظمة لنظام إدارة أمن المعلومات (ISMS) الخاص بها. يجب إجراء اختبار دوري بشكل منتظم للتأكد من أن خطط الاستجابة للحوادث تعمل بفعالية.إذا كنت ترغب في الحصول على شهادة معتمدة لقيادة فريق من المدققين والعمل كطرف ثان أو ثالث لتحقيق الامتثال للمواصفة ISO 27001، سجل الآن في دورة ISO27001 Certified ISMS Lead Auditor Training Course والتي ستقام في قلب دبي من 9 إلى 13 ديسمبر 2018.

  11. إجراء مراجعات الإدارة

    يجب على الإدارة العليا مراجعة أداء نظام إدارة أمن المعلومات على الأقل سنويًا.

  12. اختر هيئة الاعتماد الخاصة بك

    يجب أن تكون هيئة الاعتماد التي تستخدمها معتمدة بشكل صحيح من قبل هيئة اعتماد وطنية ومعترف بها في منتدى الاعتماد الدولي.

  13.  احصل على شهادة معتمدة

    ستقوم هيئة إصدار الشهادات التي قمت باختيارها بمراجعة وثائق نظام إدارة أمن المعلومات (ISMS) الخاصة بك والتحقق من قيامك بتنفيذ الضوابط المناسبة وإجراء تدقيق للموقع لاختبار الإجراءات أثناء الممارسة.

  14. إدارة ومراجعة نظام إدارة أمن المعلومات

    بمجرد تنفيذ نظام إدارة أمن المعلومات داخل مؤسستك، ستحتاج إلى الحفاظ على هذا النظام ومراجعته باستمرار، وتحدد المواصفة ISO 27001 متطلبات معينة للقيام بذلك.

شاهد مجاناً – سلسلة محاضرات ISO 27001 عبر الإنترنت

فيما يلي مجموعة من محاضرات آيزو 27001 عبر الإنترنت التي أقيمت مؤخرا خلال شهر أكتوبر 2018، وقد تم إعداد المحاضرات خصيصا لمؤسسات منطقتي الخليج والشرق الأوسط. المحاضرات مقدمة من شركة “آي تي غفرننس” العالمية، رائدة حوكمة تكنولوجيا المعلومات وإدارة المخاطر والامتثال، ويقدم المحاضرات “آلان كولدر” الرئيس التنفيذي ومؤسس شركة “آي تي غفرننس”.

  1. لمزيد من المعلومات حول كيفية تنفيذ نظام إدارة أمن المعلومات المتوافق مع المعيار أيزو 27001، يمكنك مشاهدة المحاضرة المجانية: Free webinar: How to implement an information security management system (ISMS
  2. محاضرة  Free webinar: How to overcome data security compliance challenges in the GCC countries والتي يمكنك من خلالها التعرف على كيفية التغلب على تحديات الامتثال لأمن البيانات في منطقة الخليج.
  3. محاضرة Learn how to conduct a cyber security risk assessment in line with ISO 27001 والتي من خلالها يمكنك تعلم كيفية إجراء تقييم مخاطر الأمن السيبراني المتوافق مع المواصفة ISO 27001″.

ملحوظة: جميع المحاضرات باللغة الإنجليزية


احصل على خصم 10% على محاضرة ISO 27001 Lead Auditor التي ستقام في دبي من 9-13 ديسمبر 2018، وذلك عند قيامك بحجز المحاضرة من خلال موقعنا الإلكتروني – احجز مقعدك الآن