الأسبوع الرابع: إدارة الأمن

الدورات عن بعد- الهيئة المستقلة للانتخاب
poll
-A A +A

نقدّم لكم هنا ترجمة أهم المواد الداعمة لمحتوى الأسبوع الرابع للدورة (Week 4): 

مرّة أخرى، في حال وجود أي استفسار نرجو منكم عدم التردد في مراسلتنا على صفحة الهيئة الرسمية عن طريق الرابط هذا.

 

 Security Management - إدارة الأمن

المفاهيم الرئيسية - Key Concepts

  • شرح الحاجة إلى إدارة أمن المعلومات فعالة.
  • تحديد الأنشطة التي تنطوي على إدارة المخاطر والحوادث.
  • تحديد العوامل الرئيسية التي تؤثر على تقييم المخاطر.
  • تحديد السيطرة الأمنية والسياسات والمخاطر الأمنية.
  • تحديد اللوائح التي يجب مراعاتها في نظام إدارة أمن المعلومات.

 

مقدمة - Introduction

  فيديو: لماذا الحاجة إلى إدارة الأمن؟ - 4 دقائق

 

 

المعايير والسياسات والضوابط الأمنية - Standards, Security Policies and Controls

          فيديو: عائلة ISO27000 - 4 دقائق

          قراءة: الفصل: مقدمة حول أمن المعلومات و ISO27001  - دقائق 10 - Reading

(رابط ترجمة قطعة القراءة الأولى: يمكنكم الاطلاع على ترجمة قطعة القراءة الأولى عن طريق الرابط هذا.)

          اختبار: ISO 27001- ستة أسئلة:

1. ISO 27001 هي:

  • معيار يصف السياسات الأمنية التي يجب اتباعها على جميع مستويات المنظمة.
  • مجموعة من التوصيات لتأمين أنظمة المعلومات في المنظمة.
  • معيار يحدد متطلبات تنفيذ نظام إدارة أمن المعلومات.
  • وثيقة تحدد ضوابط الأمن التي يمكن تنفيذها داخل نظام إدارة أمن المعلومات.

2. توفر سلسلة معايير ISO 27000: (إجابات متعددة ممكنة)

  • إرشادات بشأن تقييم المخاطر.
    وصف وتوجيهات الضوابط الأمنية.
    وصف كيفية إنشاء وتشغيل نظام إدارة المعلومات.
    تعاريف المصطلحات الأساسية المتعلقة بأمن المعلومات.

3. سلسلة ISO 27000 محايدة عن القطاعات. أي أنها لا تتضمن أي مكملات لتكييف العمليات الخاصة بالقطاع لإدارة أمن المعلومات.

  • صح.
  • خطاً.

4. يمكن للمؤسسات طلب الحصول على شهادة ضد:

  • تنفيذ ISO 27001 لسياسات الأمن الخاص بها.
  • تطبيق ISO 27002 للضوابط الخاص بها.
  • تنفيذ ISO 27001 وتشغيل نظام إدارة أمن المعلومات الخاص بها.
  • ولا أي إجابة مما سبق.

5. يؤسس نموذج Plan-Do-Check-Act مجموعة من المهام التي يجب تنفيذها في دورات. على الرغم من استخدام هذا النموذج في الإصدارات السابقة من معيار ISO 27001، إلا أنه لا يزال صالحًا كنهج فعال لتطبيق نظام إدارة أمن المعلومات الفعال (ISMS). في الواقع، يتم تنفيذ نظام إدارة أمن المعلومات (ISMS) باستخدام نموذج Plan-Do-Check-Act (حدد ما هو صحيح):

  • تتضمن مرحلة التصرف، التصرف بناءً على نتائج مرحلة الفحص لمعالجة الثغرات الموجودة.
  • تقتصر مرحلة التخطيط على الأنشطة المتعلقة بتخطيط المشروع وإدارته.
  • تشمل مرحلة التخطيط جميع الأنشطة لتحديد ما هو مطلوب لنظام إدارة أمن المعلومات (ISMS).
  • تتضمن مرحلة التدقيق تحليل الإجراءات المخططة للتحقق مما إذا كانت ستفي بالأهداف الأمنية للمنظمة.
  • تتضمن مرحلة التصرف تنفيذ جميع الإجراءات المخططة خلال مرحلة التخطيط.
  • تتضمن مرحلة التدقيق التحقق من الأنشطة التي تم القيام بها للتحقق مما إذا تم تنفيذ ما تم التخطيط له وما تم القيام به يحقق الأهداف الأمنية للمنظمة.

6. يؤسس نموذج Plan-Do-Check-Act مجموعة من المهام التي يجب تنفيذها في دورات. على الرغم من استخدام هذا النموذج في الإصدارات السابقة من معيار ISO 27001، إلا أنه لا يزال صالحًا كنهج فعال لتطبيق نظام إدارة أمن المعلومات الفعال (ISMS). في الواقع، يتم تنفيذ نظام إدارة أمن المعلومات (ISMS) باستخدام نموذج Plan-Do-Check-Act (حدد ما هو صحيح):

  • المراجعات الداخلية.
  • التشفير.
  • كشف الاختراق.
  • مراقبة المستندات.

*أفهم أن تقديم عمل غير خاص بي قد يؤدي إلى فشل دائم في هذه الدورة التدريبية أو إلغاء تنشيط حسابي في Coursera.

          فيديو: سياسات الأمن - دقيقتان

          اختبار: سياسات الأمن – سؤالين:

1. سياسة أمن المعلومات هي مجموعة موحدة من المتطلبات التي يجب استيفاؤها للحفاظ على أمن المنظمة:

  • صح.
  • خطأ.

2. سياسة أمن المعلومات للمنظمة:

  • يجب أن تأخذ في الاعتبار احتمال تهديد أمن المعلومات.
  • لا يجب أن تُوصف في وثيقة واحدة.
  • يجب معالجة المتطلبات التي أنشأتها استراتيجية الأعمال.
  • لا ينبغي التركيز على التنظيم والتشريع.

*أفهم أن تقديم عمل غير خاص بي قد يؤدي إلى فشل دائم في هذه الدورة التدريبية أو إلغاء تنشيط حسابي في Coursera.

          فيديو: ضوابط الأمن - 3 دقائق

1. حدد أي من العناصر الموجودة في القائمة يمكن اعتبارها فئة من عناصر ضبط الأمن (وليس عناصر ضبط محددة):

  • التشفير.
  • ضبط المستندات.
  • ضوابط الاستخدام.
  • إدارة الأصول.
  • ضبط الإصدار.

2. حدد أيًا من العناصر الموجودة في هذه القائمة يمكن اعتبارها عناصر ضبط للأمن محددة (وليس فئات الضوابط):

  • تشفير الوثيقة/المستند.
  • انتهاء التوظيف.
  • ضوابط الاستخدام.
  • التخلص من المعدات.

*أفهم أن تقديم عمل غير خاص بي قد يؤدي إلى فشل دائم في هذه الدورة التدريبية أو إلغاء تنشيط حسابي في Coursera.

 

إدارة المخاطر - Risk Management

فيديو:  عملية إدارة المخاطر - 3 دقائق

اختبار : إدارة المخاطر - سؤالين:

1. تُعرَّف المخاطر على أنها:

  • الثغرة/الضعف الحاصل الذي قد يؤثر على أصول المنظمة.
  • مجموع احتمالات وجود ثغرة في كل نظام داخل المنظمة.
  • مزيج من احتمالية وتأثير شيء ضار قد يؤثر على المنظمة.
  • تهديد قد يؤثر على أصول المنظمة، بغض النظر عن نقاط ضعفها/ثغرتها.

2. تتضمن إدارة المخاطر العمليات التالية:

  • خلق المخاطر.
  • القضاء على المخاطر.
  • تفادي المخاطر.
  • قبول المخاطر.
  • التبليغ عن المخاطر.
  • تقدير/تقييم المخاطر.
  • التعامل مع المخاطر.

*أفهم أن تقديم عمل غير خاص بي قد يؤدي إلى فشل دائم في هذه الدورة التدريبية أو إلغاء تنشيط حسابي في Coursera.

فيديو: إدارة المخاطر - سؤالين

اختبار: إدارة المخاطر – سؤالين:

1. حدد العناصر من القائمة التي تؤثر على احتمالية حدوث تهديد: 

  • صعوبة استغلال الثغرة الأمنية.
  • دافع المهاجم.
  • مهارات المهاجم.

2. الصيغة التي تجمع بين الاحتمالية والتأثير لتوفير قيمة للمخاطر هي:.

  • تلخيص الاحتمالية والتأثير.
  • ضرب الاحتمالية والتأثير.
  • تقسيم الاحتمالية والتأثير

*أفهم أن تقديم عمل غير خاص بي قد يؤدي إلى فشل دائم في هذه الدورة التدريبية أو إلغاء تنشيط حسابي في Coursera.

(رابط ترجمة قطعة القراءة الثانية: يمكنكم الاطلاع على ترجمة قطعة القراءة الثانية عن طريق الرابط هذا.)

 

اللوائح القانونية - Legal Regulations

فيديو:  اللوائح والأطر القانونية - 3 دقائق

اختبار : القانون واللوائح - سؤال 1:

1. يتطلب تنفيذ نظام إدارة أمن المعلومات تحديد القوانين والتشريعات التي تخضع لها الشركة. وهي:

  • القوانين واللوائح الخاصة بالدول التي تعمل فيها الشركة.
  • القوانين واللوائح من بلد المنشأ للشركة.

*أفهم أن تقديم عمل غير خاص بي قد يؤدي إلى فشل دائم في هذه الدورة التدريبية أو إلغاء تنشيط حسابي في Coursera.

(رابط ترجمة قطعة القراءة الثالثة: يمكنكم الاطلاع على ترجمة قطعة القراءة الثالثة عن طريق الرابط هذا.)

 

إدارة الحوادث - Incident Management

فيديو:  إدارة الحوادث - 3 دقائق

اختبار : إدارة الحوادث - سؤالين:

1. حدد العناصر من القائمة التي تعتبر مراحل في إدارة الحوادث الأمنية.

  • التصحيح.
  • التنفيذ.
  • تقديم التقارير.
  • التسجيل.
  • التحقيق.
  • التقييم.

2. تعادل خطة استمرارية العمل خطة الاستجابة للحوادث.

  • صح.
  • خطأ.

*أفهم أن تقديم عمل غير خاص بي قد يؤدي إلى فشل دائم في هذه الدورة التدريبية أو إلغاء تنشيط حسابي في Coursera.

دروس أخرى