الأسبوع الرابع - ترجمة قطعة القراءة الأولى: الفصل: مقدمة حول أمن المعلومات و ISO27001.

الدورات عن بعد- الهيئة المستقلة للانتخاب
poll
-A A +A

قمنا الآن بتضمين/ادراج فصل قصير من كتاب مقدمة حول أمن المعلومات و ISO27001: 2013، الكاتب ستيف جي واتكينز، ونشر من قِبل حوكمة تكنولوجيا المعلومات للنشر (2013). هذا هو "دليل الجيب".
الفصل 3: ISO27001 ومتطلبات نظام الإدارة:

 حوكمة تكنولوجيا المعلومات للنشرIT 

عنوان الفصل: ISO27001 ومتطلبات نظام الإدارة 
عنوان الكتاب: مقدمة حول أمن المعلومات و ISO27001: 2013
العنوان الفرعي للكتاب: دليل الجيب
مؤلف الكتاب: ستيف جي واتكينز
الناشر: حوكمة تكنولوجيا المعلومات للنشر. (2013)
عنوان URL الثابت: https://www.jstor.org/stable/j.ctt5hh3wf.7 
JSTOR هي خدمة غير ربحية تساعد العلماء والباحثين والطلاب على اكتشاف واستخدام وبناء مجموعة واسعة من المحتوى في أرشيف رقمي موثوق به.  نستخدم تكنولوجيا المعلومات وأدوات لزيادة الإنتاجية وتسهيل أشكال جديدة من المنح الدراسية. لمزيد من المعلومات حول JSTOR، يرجى التواصل من خلال عنوان [email protected]. يشير استخدامك لأرشيف JSTOR إلى موافقتك على شروط وأحكام الاستخدام الموجودة على الموقع http://about.jstor.org/terms
وتتعاون حوكمة تكنولوجيا المعلومات للنشر مع JSTOR لرقمنة وحفظ وتوسيع نطاق الوصول إلى مقدمة حول أمن المعلومات و ISO27001:2013
الفصل 3: ISO27001 ومتطلبات نظام الإدارة 
كما هو الحال مع معظم المواضيع، هناك معايير دولية تتعامل مع إدارة أمن المعلومات، وأهمها ISO27001: 2013.1 
يتم تنظيم هذا المعيار بطريقة خطية، تبدأ من إنشاء نظام إدارة أمن المعلومات (ISMS) حتى مراجعة وتكييف ISMS. ومع ذلك، فإن معالجة المتطلبات في هذا الترتيب ليس مطلبًا في حد ذاته. في الإصدار السابق، حدد المعيار نهج المشروع على أنه خطة معترف بها جيدًا على شكل نموذج خطط (Plan)- نفذ (DO)- تحقق (Check) - تصرف (Act)يتم اختصارها ب (PDCA) لهيكلة المهام المطلوبة لتقديم ISMS فعال. على الرغم من أن هذا لم يعد مطلوبًا بدقة من قبل ISO27001، إلا أنه لا يزال نهجًا صالحُا وفعالاً. 
يمكن تلخيص دورة P-D-C-Aعلى النحو التالي: 
• خطط ما عليك القيام به لتحقيق الهدف (والذي يتضمن تحديد ما هو هذا الهدف). 
• نفذ ما خططت له. 
• تحقق من أن ما قمت به يتناسب مع ما خططت لتحقيقه وتحديد أي ثغرات أو أوجه قصور (أي تحقق مما إذا كنت قد حققت الأهداف). 
• التصرف بناءً على نتائج مرحلة الفحص لمعالجة الثغرات و / أو تحسين كفاءة وفعالية ما لديك. 


1تشمل المعايير الأخرى التي تم استخدامها في الإشارة إلى إدارة أمن المعلومات على مدى عدد من السنوات BS7799 و ISO17799، ولكن تعتبر ISO27001 الآن المعيار لمواصفات نظام إدارة أمن المعلومات. يوفر ISO27002 إرشادات حول تنفيذ ضوابط أمن المعلومات المفهرسة في الملحق A من ISO27001. 

عادةً ما تتضمن هذه المرحلة الأخيرة وضع خطة، وتنفيذ ما تستلزمه هذه الخطة، والتحقق من تحقيق الأهداف، وتحديد أي أوجه قصور ثم التصرف بناءً على النتائج من خلال إنشاء خطة مرة أخرى. 
وهكذا، مع إدخال ISMS باستخدام P-D-C-A، يتم تنفيذ الدورة الأولية للتحسين المستمر. 
من أحد مساؤى الفهم الشائعة عند اعتماد نهج P-D-C-A هي أن مرحلة التخطيط تقتصر فقط على تخطيط المشروع. ومع ذلك، من خلال تطبيق النهج المطلوب في إصدار 2005 من ISO27001، فقد شملت مرحلة التخطيط جميع الأنشطة لتحديد ما هو مطلوب من نظام إدارة أمن المعلومات (ISMS) وكيفية تحقيق ذلك. يعد هذا مشروعًا مهمًا، إلى درجة أنه يمكن أن يستغرق المشروع نصف وقته لانجازه اعتبارًا من بدايته إلى حين إيجاد نظام إدارة أمن المعلومات (ISMS)كامل. وإن المرحلة الرئيسية الأخرى التي تتطلب الموارد هي التنفيذ. يتناول الفصل التالي أكثر جوانب الموارد كثافة لتحديد ما هو مطلوب من نظام إدارة أمن المعلومات (ISMS). 
هناك عدد من متطلبات يجب توفيرها لتشغيل نظام الإدارة، وإن هذه المتطلبات تنطبق على نظام إدارة أمن المعلومات (ISMS) كما أي نظام إداري آخر، ويشمل ذلك:


ضبط المستندات. وُجِد هذا الترتيب لإدارة توافر الوثائق داخل نظام إدارة أمن المعلومات (ISMS)، وعادة ما تشمل: 
• السياسات على مستوى الشركات 
• إجراءات التشغيل التي تصف العمليات التي تدعم السياسة وتشرح من يفعل ماذا وأين ومتى 
• تعليمات العمل التي توضح بالتفصيل كيفية إجراء مهام معينة، و 
• السجلات التي تلتقط المعلومات الضرورية لأغراض المراجعة وإبلاغ القرارات. وتشمل هذه وثائق مثل جداول المراجعة والسجلات، وسجلات العمل المنجزة لغرض التتبع والمساءلة، إلخ. 


الهدف من التحكم في المستندات هو التأكد من أن جميع هذه المستندات قد تمت كتابتها والموافقة عليها من قبل الأشخاص المعنيين وأن أحدث الإصدارات المعتمدة فقط متاحة لأولئك الذين يحتاجون إلى معرفتها ومتابعتها. يجب أيضًا حماية السجلات بمجرد إنشائها. وهذا يعني حماية سريتها ونزاهتها وتواجدها للتأكد من إمكانية استردادها من قبل الأشخاص المعنيين (المصرح لهم) عند الحاجة، وأنها مقروءة وواضحة ولم يتم التلاعب بها. 
العودة إلى نظام الإدارة المشتركة- عوامل "النظافة"... 
• المراجعات الداخلية. يمكن استخدام المراجعات الداخلية لأغراض عديدة، ولكن أحد الأهداف الرئيسية لنشر برنامج التدقيق ونظام الإدارة الداخلية هو مراقبة الامتثال بين متطلبات نظام الإدارة وممارسة العمل. يتم إجراء عمليات التدقيق الداخلي من قبل المنظمة، وذلك من أجل مصالح المنظمة، وتوفر هذه العمليات فرصة لمراجعة مستوى الامتثال داخليًا وفعالية نظام إدارة أمن المعلومات (ISMS). يتم تحقيق ذلك من خلال فحص ما يحدث بالفعل عبر دراسة عينة من الأنشطة والعمليات ومقارنة ذلك بما يصفه نظام الإدارة الموثق. يوفر تحديد أي عدم تطابق أثناء المراجعة الفرصة لتصحيح ذلك الخطأ، إما عن طريق تغيير وصف النظام لما حدث، أو من خلال تعزيز ممارسات العمل، أو معالجة قضايا الكفاءة (غالبًا من خلال التدريب والوعي المتقدم). كما ينبغي لعملية المراجعة الداخلية أن تفيد التحسين المستمر لنظام إدارة أمن المعلومات (ISMS)؛ ومع ذلك، يبدأ التحسين عادةً عندما يصبح هدفًا لعمليات التدقيق/المراجعة وذلك بمجرد تضمين نظام إدارة أمن المعلومات (ISMS). كما يمكن تكليف عمليات المراجعة الداخلية لاستهداف مجالات اهتمام معينة أو لغرض تحديد فرص التحسين. 
• مراجعة الإدارة. بالنظر إلى أن الإدارة تشرع نظام إدارة أمن المعلومات (ISMS) من خلال الموافقة على استخدام الموارد للاضطلاع بالمشروع وإصدار سياسة أمن المعلومات المؤسسية التي تحدد أهداف نظام إدارة أمن المعلومات، فمن المنطقي بعد ذلك أن نتوقع من الإدارة مراجعة التقدم المحرز في تنفيذ المشروع وفعالية نظام إدارة أمن المعلومات. تتم مراجعة الإدارة عادةً مرة كل ستة أو 12 شهرًا، وتهدف إلى تحقيق هذه الأهداف بالضبط. سيتم إعداد مجموعة من التقارير للاجتماع، والتي تغطي المؤشرات الرئيسية لكيفية عمل/تشغيل نظام إدارة أمن المعلومات. تتضمن هذه التقارير تحليلاً لنتائج المراجعات (الداخلية والطرف الثاني والثالث2)، والحوادث الهامة المتعلقة بالأمان، والتغييرات في القضايا الخارجية والداخلية التي قد تؤثر على نظام إدارة أمن المعلومات، وعدة أشكال من مؤشر الوعي بقضايا أمن المعلومات ونظام إدارة أمن المعلومات عبر مشاركة جميع المستفيدين من أمن المعلومات، وتتضمن أيضًا التقارير إشارة إلى مقدار وتوقيت أي تحسين قد طرأ على أي نشاط. يجب أن تدرس المراجعة أيضًا مقاييس الفعالية3 التي تم تطويرها وأي فرص للتحسين المستمر التي تم تحديدها أو تنفيذها. 

2 راجع الفصل 6 لمزيد من المعلومات حول عمليات تدقيق/مراجعات الطرف الثاني والثالث. 
3 تتطلب ISO27001: 2013 من المنظمة تحديد كيفية قياس فعالية نظام إدارة أمن المعلومات (كما ورد في الأقسام 5.1 d, 6.1.1.e.2, 7.2 c, 9.1 وعلى وجه الخصوص قسم 9.1.b) وفيما يخص الإدارة راجع (القسم 9.3.c.2). 

إذا كنت ترغب في شراء هذا الكتاب، يمكنك ذلك من خلال زيارة الرابط التالي www.itgovernance.co.uk/shop/p-357-an-introduction-to-information-securi…