تشكل الجرائم الإلكترونية تهديدًا خطيرًا للشركات من جميع الصناعات والأحجام - وهذا أمر معروف على نطاق واسع. تتراوح الذخيرة من التجسس إلى التخريب إلى الابتزاز. ومع ذلك ، فإن الخطر لا يأتي فقط من الإنترنت. يمكن أن يكون موظفوك أيضًا عامل خطر جديًا. خاصة إذا لم تتخذ شركتك التدابير المناسبة - ألق نظرة على الملحق أ 7 من ISO 27001.
Loading...
يوفر نظام إدارة أمن المعلومات (ISMS) حسن التنظيم وفقًا لمعيار ISO 27001 الأساس للتنفيذ الفعال لاستراتيجية شاملة لأمن المعلومات. يساعد النهج المنهجي على حماية بيانات الشركة السرية من الضياع وسوء الاستخدام وتحديد المخاطر المحتملة للشركة بشكل موثوق وتحليلها وجعلها قابلة للسيطرة عليها من خلال التدابير المناسبة. هذا ينطوي على أكثر بكثير من مجرد جوانب أمن تكنولوجيا المعلومات. تنفيذ التدابير الواردة في الملحق أ من المعيار له قيمة خاصة بالنسبة للممارسة.
ISO/IEC 27001:2013: تكنولوجيا المعلومات - إجراءات الأمن - أنظمة إدارة أمن المعلومات - المتطلبات.
الملحق أ من ISO 27001: مناسب عمليًا
بالإضافة إلى قسم المتطلبات الموجهة نحو نظام الإدارة (الفصول من 4 إلى 10) ، يحتوي الملحق أ لمعيار ISO على قائمة شاملة من 35 هدفًا (عناصر تحكم) مع 114 إجراءًا ملموسًا على مجموعة واسعة من الجوانب الأمنية عبر 14 فصلاً.
ملاحظة: البيانات المشار إليها باسم "التدابير" في الملحق أ هي في الواقع أهداف فردية (ضوابط). يصفون الشكل الذي يجب أن تبدو عليه النتيجة المتوافقة مع المعايير للتدابير (الفردية) المناسبة.
يجب على الشركات استخدام هذه الضوابط كأساس لهيكلة فردية وأكثر عمقًا لسياسة أمن المعلومات الخاصة بهم. فيما يتعلق بموضوع الأفراد ، فإن التدبير الموضوعي "أمن الأفراد" في الملحق أ .7 له أهمية خاصة.
"الإجراءات لا تعتمد على عدم الثقة في الموظفين ، ولكن على عمليات الموظفين منظمة بشكل واضح."
تضمن عمليات الموظفين في جميع مراحل التوظيف أن المسؤوليات والواجبات قد تم تعيينها فيما يتعلق بأمن المعلومات وأن الامتثال يتم رصده. وبالتالي ، فإن انتهاكات سياسة أمن المعلومات - المقصودة وغير المقصودة - ليست مستحيلة ، لكنها تصبح أكثر صعوبة. وإذا كان الأسوأ هو الأسوأ ، فإن ISMS الفعال يزود المنظمة بالآليات المناسبة للتعامل مع الخرق.
أمن المعلومات ليس عدم ثقة
ليست مسألة عدم ثقة بأي حال من الأحوال إذا أصدرت الشركة إرشادات مناسبة لجعل الوصول غير المصرح به من الداخل أكثر صعوبة أو من الأفضل منعه تمامًا. بعد كل شيء ، هناك شيء واحد واضح: إذا كان إنهاء الموظف وشيكًا أو تم الإعلان عنه بالفعل ، فقد يؤدي عدم رضاه إلى سرقة البيانات المستهدفة. يحدث هذا بشكل خاص عندما يعتقد الموظف الذي تم إنهاء خدمته أن لديه حقوق ملكية لبيانات المشروع. على العكس من ذلك ، قد يتم بالفعل تقديم طلب لوظيفة معينة بقصد ارتكاب عمل إجرامي.
تشير السيناريوهات الأخرى إلى سلوك إهمال صارخ أو مجرد تهور ، والذي يمكن أن يكون له عواقب وخيمة مماثلة. يحدث ، على سبيل المثال ، أن أقسام تقنية المعلومات بأكملها لا تلتزم بقواعدها الخاصة - فهي مرهقة للغاية وتستغرق وقتًا طويلاً للغاية. في المكتب ، يعتبر التعامل بإهمال مع كلمات المرور أو الهواتف الذكية غير المحمية. ولكن أيضًا التوصيل المتهور لعصا USB ، وفتح المستندات على الشاشة ، والمستندات السرية في المكاتب الفارغة - قائمة الإغفالات المحتملة طويلة.
الملحق A.7 من ISO 27001 - أمن الموظفين
الشركات التي طبقت نظام إدارة أمن المعلومات (ISMS) وفقًا لمعيار ISO 27001 في وضع أفضل هنا. إنهم يعرفون المتطلبات والملحق أ .7 المتعلق بالممارسة من المعيار المعترف به دوليًا. نظرًا لأن ISO 27001 لديها الكثير لتقدمه هنا: على الرغم من أن المقاييس المرجعية تشير مباشرة إلى المتطلبات القياسية ، إلا أنها تهدف دائمًا إلى ممارسة الشركة المباشرة.
الشركات التي لديها ISMS فعالة على دراية بالأهداف المحددة في A.7 ، والتي يجب تنفيذها بهدف تأمين الموظفين للامتثال الكامل للمعيار - عبر جميع مراحل التوظيف.
ماذا ينص معيار ISO 27001 في الملحق A.7؟
تدابير قبل التوظيف
يجب على المنظمة التأكد من أن الموظف الجديد يفهم مسؤولياته المستقبلية وأنه مناسب لدوره قبل توظيفهم - وفقًا للملحق A.7.1. في قسم المتطلبات (الفصل 7.2) ، يتحدث المعيار عن "الكفاءة".
كإجراء مرجعي موجه نحو الهدف ، يتلقى المتقدمون للحصول على وظيفة أولاً تصريحًا أمنيًا يتوافق مع المبادئ الأخلاقية والقوانين المعمول بها. يجب أن يكون هذا الفحص مناسبًا فيما يتعلق بمتطلبات العمل ، وتصنيف المعلومات التي سيتم الحصول عليها والمخاطر المحتملة (أ / 7/1/1). من أجل التمكن من تحقيق ذلك ، ينبغي ، من بين أمور أخرى ، توفير ما يلي أو ضمانه أو التحقق منه:
إجراء للحصول على المعلومات (كيف وتحت أي شروط)
قائمة بالمعايير القانونية والأخلاقية الواجب مراعاتها
يجب أن يكون الفحص الأمني مناسبًا ، فيما يتعلق بالمخاطر واحتياجات الشركة
معقولية وصحة السيرة الذاتية والبيانات المالية والمستندات الأخرى
مصداقية وكفاءة المتقدم للوظيفة المطلوبة
الاتفاقات التعاقدية
الخطوة التالية تتعلق بالتوظيف والشروط التعاقدية. لذلك ، فإن هذا الإجراء المرجعي في الملحق أ من ISO / IEC 27001 يتكون من الاتفاقية التعاقدية بشأن المسؤوليات التي يتحملها الموظفون تجاه الشركة والعكس بالعكس (A.7.1.2). يتضمن التنفيذ الناجح لهذا المطلب ، من بين أمور أخرى ، استيفاء هذه النقاط:
توقيع اتفاقية سرية من قبل الموظف (المقاول) مع الوصول إلى المعلومات السرية
التزام تعاقدي من جانب الموظف (المقاول) بالامتثال ، على سبيل المثال ، لقضايا حقوق النشر أو حماية البيانات
بند تعاقدي بشأن مسؤولية الموظفين (المتعاقدين) عند التعامل مع المعلومات الخارجية
أثناء التوظيف - مسؤوليات الإدارة العليا.
يجب أن يكون الموظفون على دراية بمسؤوليات أمن المعلومات الخاصة بهم. هذا هو هدف أ.7.2 ، والأهم من ذلك ، يجب على الموظفين الوفاء بهذه المسؤوليات.
يهدف الإجراء الأول (أ / 7/2/1) إلى التزام الإدارة بتشجيع موظفيها على تنفيذ أمن المعلومات وفقًا للسياسات والإجراءات المعمول بها. ولهذه الغاية ، يجب تنظيم النقاط التالية كحد أدنى:
بأي طريقة تشجع الإدارة العليا الموظفين على التنفيذ؟ أين توجد المخاطر؟
كيف تضمن أن الموظفين على دراية بالإرشادات المطبقة للتعامل مع أمن المعلومات؟
كيف تتحقق مما إذا كان الموظفون يلتزمون بإرشادات التعامل مع أمن المعلومات؟
كيف يحفزون موظفيهم على تنفيذ السياسات والإجراءات وتطبيقها بشكل آمن؟
خلق الوعي
في الفصل 7.3 "الوعي" ، تتطلب ISO 27001 أن يكون الأشخاص الذين يؤدون الأنشطة ذات الصلة على دراية بما يلي
من سياسة أمن معلومات المنظمة
من مساهماتهم في فعالية نظام إدارة أمن المعلومات (ISMS)
فوائد تحسين أداء أمن المعلومات
عواقب عدم تلبية متطلبات ISMS
يحتاج الموظفون الجدد على وجه الخصوص إلى معلومات منتظمة حول هذا الموضوع ، على سبيل المثال ، عن طريق البريد الإلكتروني أو عبر الإنترانت ، بالإضافة إلى الإحاطة الإلزامية حول قضايا أمن المعلومات. التدريب الملموس (خاصة على خطط وتمارين الطوارئ) ، وورش العمل الخاصة بالموضوع وحملات التوعية (على سبيل المثال ، عبر الملصقات) تعزز الوعي بنظام إدارة أمن المعلومات.
على سبيل المثال ، يعمل المقياس المرجعي A.7.2.1 في الملحق أ من ISO 27001 أيضًا على خلق الوعي المناسب بأمن المعلومات. يجب على المنظمات تدريب وتثقيف موظفيها ، وعند الاقتضاء ، المتعاقدين معها حول الموضوعات ذات الصلة مهنيًا. يجب تحديث السياسات والإجراءات المقابلة بانتظام. يجب مراعاة الجوانب التالية ، من بين أمور أخرى:
الطريقة التي تلتزم بها الإدارة العليا من جانبها بأمن المعلومات
طبيعة التعليم والتدريب المهني
معدل تكرار مراجعة السياسات والإجراءات وتحديثها
الأدوات الأخرى التي يتم استخدامها
تدابير ملموسة لتعريف الموظفين بسياسات وإجراءات أمن المعلومات الداخلية
نصيحة: ضمان اتصال جيد الأداء مع قنوات متعددة لنقل المعرفة. وذلك لأن الوعي بـ ISMS والجوانب ذات الصلة التي يتطلبها المعيار يرتبط ارتباطًا وثيقًا بنقل المعرفة.
عملية التوبيخ
الملحق 7.2.3: يحدد هذا الإجراء الطريقة التي ستتعامل بها المنظمة مع التوبيخ في حالة حدوث انتهاكات لأمن المعلومات. أساس هذا هو عملية الإجراءات التصحيحية. يجب أن يتم تحديدها وإنشاءها والإعلان عنها رسميًا. يجب التأكد مما يلي:
يجب أن توجد معايير يتم بموجبها تصنيف خطورة انتهاك سياسة أمن المعلومات
يجب ألا تنتهك العملية التأديبية القوانين المعمول بها
يجب أن تحتوي العملية التأديبية على تدابير تحفز الموظفين على تغيير سلوكهم بطريقة إيجابية على المدى الطويل
نهاية العمل - المسؤوليات
يحدد الملحق A.7.3 من ISO 27001 كهدف إنهاء فعال أو عملية تغيير لحماية مصالح المنظمة. يركز هذا الهدف على مسؤوليات إنهاء العمل أو تغييره. وفقًا لذلك ، يجب تحديد المسؤوليات والالتزامات المتعلقة بأمن المعلومات والتي تبقى بعد إنهاء العمل أو تغييره ، والإبلاغ عنها وإنفاذها. من المنطقي النظر في هذه الجوانب:
الاتفاقيات في عقود العمل حول كيفية تعامل الموظفين مع المسؤوليات والواجبات المستمرة المتعلقة بأمن المعلومات بعد إنهاء الخدمة
آليات المراقبة لضمان الامتثال لهذه الاتفاقيات
إجراءات لفرض الامتثال للمسؤوليات والواجبات المستمرة
الأمن السيبراني من خلال أمن الموظفين المنظم
التهديد من الداخل حقيقي - ومعظم الشركات تدرك ذلك. وفقًا لدراسة أمنية (Balabit 2018) ، فإن الموظفين الذين لديهم حقوق وصول واسعة النطاق معرضون بشكل خاص للهجوم. ومع مشاركة الموظفين في 50 في المائة من جميع الانتهاكات الأمنية ، يعتبر 69 في المائة من محترفي تكنولوجيا المعلومات المستجيبين أن خرق البيانات الداخلية هو الخطر الأكبر. ومع ذلك ، لم يتم عمل الكثير حيال ذلك. من الناحية العملية ، غالبًا ما يكون من الصعب توجيه اتهامات ضد الموظفين الداخليين. خاصة في الشركات الصغيرة والمتوسطة (SMEs) ، حيث يعرف الناس بعضهم البعض ، غالبًا ما يتم وضع قدر معين من الثقة فيهم - في بعض الأحيان مع عواقب غير سارة. توفر إدارة أمن المعلومات جيدة التنظيم الأساس لضمان أمن المعلومات التي تتطلب الحماية.
الخلاصة: ISO 27001 عمليًا - الملحق أ
في الملحق A.7 ، توفر ISO / IEC 27001 تدابير مرجعية لأمن الموظفين التي يجب تنفيذها كجزء من إدخال المعيار. يجب على الشركات استخدام هذه الضوابط كأساس لتصميمها الفردي الأكثر عمقًا لسياسة أمن المعلومات الخاصة بها. لا تعتمد التدابير على عدم الثقة في الموظفين ، ولكن على عمليات الموظفين المنظمة بشكل واضح.
الخبرة والثقة
قيمة أنظمة إدارة الشركات المعتمدة كأدوات للإدارة العليا التي تخلق الشفافية وتقلل من التعقيد وتوفر الأمان. ومع ذلك ، فإن أنظمة الإدارة تفعل أكثر من ذلك: تم تقييمها واعتمادها من قبل طرف ثالث محايد ومستقل مثل DQS ، فهي تخلق ثقة مع الأطراف المهتمة في أداء شركتك.
لا تزال العديد من المؤسسات تواجه الشهادة كفحص للامتثال. من ناحية أخرى ، يرى عملاؤنا أنها فرصة للتركيز على عوامل النجاح الحاسمة ونتائج نظام الإدارة الخاص بهم. لأن كفاءاتنا الأساسية تكمن في أداء عمليات تدقيق وتقييم الشهادات. هذا يجعلنا أحد المزودين الرائدين في جميع أنحاء العالم مع المطالبة بوضع معايير جديدة في الموثوقية والجودة وتوجيه العملاء في جميع الأوقات
شهادة وفقا لمعيار الأيزو 27001
ما مقدار العمل الذي يتعين عليك القيام به حتى يتم اعتماد نظام إدارة أمن المعلومات الخاص بك لـ ISO 27001؟ اكتشف مجانًا وبدون التزام.
يرجى ملاحظة: مقالاتنا مكتوبة حصريًا من قبل خبراء نظام الإدارة الداخليين لدينا والمدققين القدامى. إذا كان لديك أي أسئلة لمؤلفينا حول أمن المعلومات (ISMS) ، يرجى الاتصال بنا. نريد التحدث معكم.
النشرة الإخبارية DQS
ابق على اطلاع واشترك في النشرة الإخبارية لدينا!
مؤلف
André Saeckel
مدير المنتج في DQS لإدارة أمن المعلومات. بصفته خبيرًا في المعايير في مجال أمن المعلومات وكتالوج أمن تكنولوجيا المعلومات (البنى التحتية الحيوية) ، فإن André Säckel مسؤول عن المعايير التالية والمعايير الخاصة بالصناعة ، من بين أمور أخرى: ISO 27001 و ISIS12 و ISO 20000-1 و KRITIS و TISAX ( أمن المعلومات في صناعة السيارات). وهو أيضًا عضو في مجموعة العمل ISO / IEC JTC 1 / SC 27 / WG 1 كمندوب وطني للمعهد الألماني للتوحيد القياسي DIN.
Loading...