الجمعة، 20 يوليو 2018

معايير أمن المعلومات

معايير أمن المعلومات.

تعد المعلومات في وقتنا الحاضر أحد أهم مقومات إدارة الأعمال في المؤسسات الحكومية والخاصة. وقد نقلت نظم المعلومات وقواعد البيانات وشبكات الاتصالات العالم من العصر الصناعي إلى العصر المعرفي وأضحت أساسا لأي قطاع.
ومع ازدياد أهمية المعلومات والإيمان بأهميتها يزداد الاهتمام بكيفية الحفاظ عليها وحمايتها مما أدى إلى ظهور علم مختص يسمى علم أمن المعلومات Information Security.
ولا يعد أمن المعلومات عملية تقنية بحتة يقوم بها المختصون فقط وإنما هو نتاج تعاون بين جميع موظفي المنشأة الواحدة, بحيث تتوزع الأدوار والمسؤوليات بما يخدم مصالح المنشأة وبالتالي فإن أي خطة تضعها المنشأة بخصوص أمن المعلومات لابد من احتواؤها على عناصر وبنود شاملة لكل العمليات والسياسات المتعلقة بالنواحي التقنية والبشرية.
وإدراكا لأهمية أمن المعلومات قامت مجموعة من الهيئات الحكومية وغير الحكومية بإيجاد  معايير خاصة بأمن المعلومات للتأكد من  وجود مستوى معين من الحماية للمعلومات, ولضمان أن الموارد الحاسوبية للمنشأة تستخدم بأسلوب صحيح , ولتبني أفضل الممارسات في أمن المعلومات.
ويعرف المعيار بأنه مجموعة محددة مسبقاّ من القواعد و الشروط أو المتطلبات المتعلقة بتعريف المصطلحات، تصنيف المكونات، تحديد المواد، الأداء أو الإجراءات، تخطيط العمليات، القياسات الكمية أو الجودة لتوصيف المواد، المنتجات، الأنظمة، الخدمات أو الممارسة.
وفي هذا المقال سنتطرق لأشهر معايير أمن المعلومات مثل معايير منظمة الآيزو ISO Standards  و معيار كوبت COBIT ومعيار ITIL. وقبل ذلك سنتطرق للأسباب التي تجعل استخدام هذه المعايير أمرا مهما في عالم أمن المعلومات.

لماذا نستخدم المعايير:
أصبح استخدام المعايير ضرورة ملحة لأي منشأة  للأسباب التالية:

-  تشارك المعرفة:
لأن معايير امن المعلومات تتبع قطاعا متغيرا بشكل متسارع, فإن وجود مجموعة كبيرة من الأشخاص مهتمين في معيار معين يوفر تشاركية أكبر في المعلومات ويمنح سرعة في الحصول على المعلومة المطلوبة ويوفر أيضا معرفة بالاتجاهات المستقبلية والتقنيات الجديدة المستخدمة في مجال أمن المعلومات.

-  مراقبة أفضل:
تساعد المعايير أي منشأة  في التحكم ومراقبة الأنشطة والمهام الخاصة بأمن المعلومات فيها والتأكد من أنها في مستوى متميز مقارنة بمثيلاتها من المنشآت, خاصة إذا جاء الحكم عن طريق طرف ثالث وهو المؤسسة المسئولة عن المعيار مما يعطي رأيا محايدا للمنشأة ومقبولا من جميع الأطراف.

-  أفضل الممارسات:
تم تطوير هذه المعايير بناء على تجارب وخبرات المئات من الأشخاص والمنظمات وبالتالي تحوي هذه المعايير مجموعة كبيرة جدا من أفضل الممارسات الموجودة في مجال أمن المعلومات, ولا يمكن مقارنتها بجهود وخبرات منشأة واحدة بل إن دمجها مع ممارسات هذه المنشأة سيؤدي حتما إلى مستوى أفضل في هذا المجال.

-  وضوح الهيكلة:
توفر المعايير عادة نموذجا واضحا يجعل تبنيه يعطينا صورة واضحة عن الهيكلية الإدارية والتنظيمية التي يمكن للمنشأة إتباعها. هذا يجعل المنشأة تعرف المسئول عن كل مهمة من مهام أمن المعلومات.

-  توفير الوقت:
نظرا للأهمية الكبرى لعامل الزمن في هذا العصر التنافسي لم تعد المنظمات بحاجة إلى إنشاء وتطوير خطة أو نموذج خاص بالمنشأة تستغرق وقتا طويلا وبناء على خبرات محدودة فقط في حين أن هناك معيار موجود ومعترف به دوليا وتم تطويره عن طريق خبرات مشتركة .
معايير أمن المعلومات:
في هذا الجزء سنحاول أن نلقي نظرة على عدد من المعايير العالمية في مجال أمن المعلومات, ولن نتطرق إلى نواحي تفصيلية كثيرة لأن لكل معيار تطبيقات خاصة ولكننا نحيل القارئ للمواقع الالكترونية الخاصة بتلك المعايير للاطلاع التفصيلي.
معيار  ISO/IEC 27002:
هذا المعيار هو أحد معايير المنظمة العالمية للمعايير International Organization for Standardization  أو الآيزوISO ,  وهي معنية بإعداد معايير لمختلف المجالات ومن ضمنها مجال تقنية المعلومات. وقد طور هذا المعيار بالتعاون مع منظمة الكهروتقنية الدولية International Electrotechnical Commission  واختصارا IEC. وهذا المعيار جزء من مجموعة من المعايير تسمى عائلة  ISO/IEC 27000 أو يطلق عليها معايير تقنية المعلومات – تقنيات الأمن – كود الممارسة الأفضل لإدارة أمن المعلومات.
ويهدف هذا المعيار إلى إيجاد خطط ومبادئ أساسية لإنشاء وتنفيذ وصيانة وتطوير نظم إدارة أمن المعلومات في المنظمة. وينقسم  هذا المعيار إلى  مجموعة من الأجزاء الفرعية يجب على المنظمة الراغبة في الحصول على هذا المعيار تطبيقها, وهي كالتالي:
•    تقييم المخاطر.
•    السياسة الأمنية.
•    الهيكل التنظيمي لأمن المعلومات.
•    إدارة الأصول.
•    إدارة أمن الموارد البشرية.
•    أمن المرافق والبيئة المحيطة.
•    إدارة العمليات والاتصالات.
•    التحكم في الوصول.
•    حيازة نظم المعلومات وتطويرها وصيانتها.
•    إدارة الحوادث العرضية لتقنية المعلومات.
•    إدارة استمرارية الخدمة.
•    إدارة التوافقية مع الأنظمة والتشريعات.

معيار COBIT:
تم تطوير وتصميم  معيار COBIT عام 1995م من قبل معهد حوكمة تقنية المعلومات IT Governance Institute وهو الآن في نسخته الرابعة [5]. وكلمة كوبت أو COBIT اختصار لـ ضوابط المعلومات والتقنيات المتعلقة بها أو
Control Objectives for Information and related Technology.
و هذا المعيار عبارة عن هيكلية تهدف إلى ربط تقنية المعلومات بأهداف ومتطلبات أعمال المنظمة عن طريق إيجاد نموذج عام لأنشطة تقنية المعلومات في المنظمة مما يؤدي إلى التعرف على موارد تقنية المعلومات المهمة وتعزيزها و ربط ذلك كله بضوابط تحكم هذه العمليات والأنشطة والموارد [6].
ويركز هذا المعيار على أربع أجزاء رئيسية هي:
•    التخطيط والتنظيم لتقنية المعلومات.
•    الاستحواذ وتطبيق تقنية المعلومات.
•    توصيل ودعم تقنية المعلومات.
•    المراقبة والمتابعة.

معيار ITIL:
معيار  ITILاختصار لـ Information Technology Infrastructure Library
أو مكتبة البنية الأساسية لتقنية المعلومات و يصدر عن مكتب التجارية الحكومية البريطاني Office of Government Commerce (OGC). وهذا المعيار عبارة عن  مجموعة من المفاهيم والسياسات لإدارة وتطوير خدمات تقنية المعلومات والعمليات المتعلقة بها. وفي هذا المعيار هناك وصف تفصيلي للمهام والعمليات المتعلقة بتقنية المعلومات مع قوائم مرجعية متكاملة بحيث تستطيع أي منظمة تستخدم تقنية المعلومات موائمته حسب احتياجاتها [7].
وبالرغم من عدم وجود جزء مستقل في هذا المعيار مخصص لأمن المعلومات إلا أنه يعتبر الأمن عملية مستمرة  وتكاملية مع باقي العمليات خصوصا عملية إيصال الخدمة [8].
وفي هذا المعيار يجب أن تتوافق إدارة أمن المعلومات في المنظمة مع ما يلي [8]:
•    السياسات الحالية و المستقبلية لأمن إدارة الأعمال.
•    متطلبات الأمن.
•    المتطلبات التشريعية والقانونية.
•    إدارة تقييم مخاطر الأعمال وتقنية المعلومات.
ويجب أن توضح عملية إدارة أمن المعلومات ما يلي  [8]:
•    سياسة أمن المعلومات.
•    أنظمة إدارة أمن المعلومات.
•    خطة إستراتيجية متكاملة لأمن المعلومات ومتوافقة مع استراتجيات الأعمال.
•    هيكلية فعالة لإدارة الأمن.

الخاتمة:
تطرقنا في هذه المقالة لعدد من معايير أمن المعلومات , وفي البداية تحدثنا عن الأسباب التي تجعل اتباع المنظمات للمعايير العالمية أمرا مرغوبا وينصح به. ثم تحدثنا بشكل ملخص عن ثلاثة من أشهر المعايير العالمية هي معيار الآيزو ISO/IEC 27002 و معيار COBIT ومعيار ITIL.
ختاما إن اختيار أحد هذه المعايير أو سواها سواء بتبنيها كما هي أو تكييفها للتوافق مع متطلبات المنظمة يعد أمرا ملحا وضروريا ولعلنا نتطرق في مقالة قادمة عن الاستراتجية الأمثل التي ينبغي على المنظمة اختيارها من خلال مجموعة من الأمثلة والحالات الدراسية.

المصدر بتصرف:
https://coeia.ksu.edu.sa

مرسلة بواسطة في