شيئان غالبًا ما يتم الخلط بينهما: أمن تكنولوجيا المعلومات وأمن المعلومات. في عصر الرقمنة ، عادة ما تتم معالجة المعلومات أو تخزينها أو نقلها بمساعدة تكنولوجيا المعلومات - في أوقات التحول الرقمي ، تتم معالجة المعلومات أو تخزينها أو نقلها بمساعدة تكنولوجيا المعلومات في الغالب - ولكن غالبًا ما يكون أمن المعلومات أكثر تناظرية مما كنا نفعل فكر في! في الأساس ، يرتبط أمن تكنولوجيا المعلومات وأمن المعلومات ارتباطًا وثيقًا. لذلك ، يلزم اتباع نهج منظم من أجل الحماية الفعالة للمعلومات السرية ، فضلاً عن تكنولوجيا المعلومات نفسها.
Loading...
محتوى
أمن تكنولوجيا المعلومات مقابل أمن المعلومات
أهداف حماية أمن المعلومات
أمن تكنولوجيا المعلومات حسب التعريف
أمن المعلومات = أمن تكنولوجيا المعلومات بالإضافة إلى X
أمن تكنولوجيا المعلومات بموجب القانون ، مثال من ألمانيا
ISO 27001 - معيار أمن المعلومات
غالبًا ما يكون أمن المعلومات تناظريًا أكثر مما نعتقد
أمن تكنولوجيا المعلومات مقابل أمن المعلومات - خاتمة
ما الذي يمكن أن تتوقعه منا
أمن تكنولوجيا المعلومات مقابل أمن المعلومات
أمن المعلومات هو أكثر من مجرد أمن تكنولوجيا المعلومات. يركز على الشركة بأكملها. بعد كل شيء ، فإن أمن المعلومات السرية لا يهدف فقط إلى البيانات التي تتم معالجتها بواسطة الأنظمة الإلكترونية. يشمل أمن المعلومات جميع أصول الشركة التي تحتاج إلى الحماية ، بما في ذلك تلك الموجودة على ناقلات البيانات التناظرية مثل الورق.
"أمن تكنولوجيا المعلومات وأمن المعلومات هما مصطلحان غير قابلين (بعد) للتبادل."
أهداف حماية أمن المعلومات
وبالتالي ، تنطبق أهداف الحماية الأساسية الثلاثة لأمن المعلومات - السرية والتوافر والنزاهة - أيضًا على خطاب يحتوي على مستندات تعاقدية مهمة ، والتي يجب أن تصل إلى باب المستلم في الوقت المحدد ، بشكل موثوق وسليم ، ويتم نقلها بواسطة ساعي ، ولكن تمثيليًا تمامًا. وتنطبق أهداف الحماية هذه على نحو متساوٍ على ورقة تحتوي على معلومات سرية ، ولكن هذا مستلقٍ على مكتب غير مراقب حتى يتمكن أي شخص من رؤيته أو انتظاره في آلة النسخ ، التي يمكن الوصول إليها مجانًا ، للوصول غير المصرح به.
وبالتالي ، فإن أمن المعلومات له نطاق أوسع من أمن تكنولوجيا المعلومات. من ناحية أخرى ، يشير أمن تكنولوجيا المعلومات "فقط" إلى حماية المعلومات الموجودة على أنظمة تكنولوجيا المعلومات.
أمن تكنولوجيا المعلومات حسب التعريف
ماذا تقول الجهات الرسمية؟ أمن تكنولوجيا المعلومات هو "حالة يتم فيها تقليل المخاطر الموجودة في استخدام تكنولوجيا المعلومات بسبب التهديدات ونقاط الضعف إلى مستوى مقبول من خلال التدابير المناسبة. لذلك فإن أمن تكنولوجيا المعلومات هو الحالة التي يتم فيها السرية والنزاهة وتوافر المعلومات والمعلومات التكنولوجيا محمية بالتدابير المناسبة ". وفقًا للمكتب الفيدرالي الألماني لأمن المعلومات (BSI).
أمن المعلومات = أمن تكنولوجيا المعلومات بالإضافة إلى X
من الناحية العملية ، يتم في بعض الأحيان اتباع نهج مختلف ، وذلك باستخدام القاعدة الأساسية "أمن المعلومات = أمن تكنولوجيا المعلومات + حماية البيانات". ومع ذلك ، فإن هذا البيان ، المكتوب كمعادلة ، مذهل للغاية. من المسلم به أن مسألة حماية البيانات بموجب اللائحة العامة لحماية البيانات الأوروبية تدور حول حماية الخصوصية ، الأمر الذي يتطلب من معالجي البيانات الشخصية أن يكون لديهم تكنولوجيا معلومات آمنة ، وعلى سبيل المثال ، بيئة بناء آمنة - وبالتالي استبعاد الوصول المادي إلى سجلات بيانات العملاء. ومع ذلك ، فإن هذا يترك البيانات التناظرية المهمة التي لا تتطلب الخصوصية الشخصية. على سبيل المثال ، خطط بناء الشركة وأكثر من ذلك بكثير.
يحتوي مصطلح أمن المعلومات على معايير أساسية تتجاوز جوانب تكنولوجيا المعلومات البحتة ، ولكنها تشملها دائمًا. وبالتالي ، نسبيًا ، يتم دائمًا اتخاذ حتى التدابير التقنية أو التنظيمية البسيطة في نطاق أمن تكنولوجيا المعلومات على خلفية أمن المعلومات المناسب. من الأمثلة على ذلك:
تأمين مصدر الطاقة للأجهزة
تدابير ضد ارتفاع درجة حرارة الأجهزة
برامج فحص الفيروسات وتأمين البرامج
تنظيم هياكل المجلدات
انشاء وتحديث جدران الحماية
تدريب الموظفين ، إلخ.
من الواضح أن أجهزة الكمبيوتر وأنظمة تكنولوجيا المعلومات الكاملة في حد ذاتها لن تحتاج إلى الحماية. بعد كل شيء ، بدون المعلومات المراد معالجتها أو نقلها رقميًا ، تصبح الأجهزة والبرامج عديمة الفائدة.
أمن تكنولوجيا المعلومات بموجب القانون ، مثال من ألمانيا
موضوع CRITIS: يركز قانون أمن تكنولوجيا المعلومات على البنى التحتية الحيوية من مختلف القطاعات ، مثل الكهرباء والغاز وإمدادات المياه والنقل والتمويل والغذاء والصحة. هنا ، ينصب التركيز الرئيسي على حماية البنية التحتية لتكنولوجيا المعلومات من الجرائم الإلكترونية من أجل الحفاظ على توافر أنظمة تكنولوجيا المعلومات وأمنها. على وجه الخصوص ، يجب حماية أنظمة التحكم عن بعد التي يتم التحكم فيها رقميًا اليوم.
تأتي أهداف الحماية هذه في المقدمة (مقتطفات):
النظر في مخاطر أمن تكنولوجيا المعلومات
إنشاء مفاهيم أمن تكنولوجيا المعلومات
إنشاء خطط الطوارئ
اتخاذ الاحتياطات الأمنية العامة
السيطرة على أمن الإنترنت
باستخدام طرق التشفير وما إلى ذلك.
ISO 27001 - معيار أمن المعلومات
ماذا يقول ISO 27001؟ يُطلق على المعيار المعترف به عالميًا لنظام إدارة أمن المعلومات (ISMS) ، بمشتقاته ISO 27019 و ISO 27017 و ISO 27701:
ISO / IEC 27001: 2017 - تكنولوجيا المعلومات - تقنيات الأمن - أنظمة إدارة أمن المعلومات - المتطلبات (ISO / IEC 27001: 2013 بما في ذلك Cor 1: 2014 و Cor 2: 2015).
يوضح عنوان هذا المعيار المهم أن أمن تكنولوجيا المعلومات يلعب دورًا رئيسيًا في أمن المعلومات اليوم وستستمر أهميته في النمو في المستقبل. ومع ذلك ، فإن المتطلبات المنصوص عليها في ISO 27001 لا تستهدف بشكل مباشر أنظمة تكنولوجيا المعلومات الرقمية فقط. على العكس تماما:
"خلال ISO / IEC 27001 ، تتم الإشارة إلى" المعلومات "في جميع المجالات ، دون استثناء."
من حيث المبدأ ، لا يوجد تمييز بين الطريقة التناظرية أو الرقمية التي تتم بها معالجة هذه المعلومات أو حمايتها.
يدعم نظام ISMS الذي تم تنفيذه بنجاح استراتيجية أمنية شاملة: فهو يتضمن تدابير تنظيمية ، وإدارة موظفين واعية للأمن ، وأمن هياكل تكنولوجيا المعلومات المنتشرة ، والامتثال للمتطلبات القانونية.
غالبًا ما يكون أمن المعلومات تناظريًا أكثر مما نعتقد
يمكن لأي شخص يريد تطبيق المتطلبات القياسية لـ ISO 27001 على نظام تمثيلي تمامًا وينتهي به الأمر تمامًا مثل شخص طبق المتطلبات على نظام رقمي شامل. تظهر مصطلحات مثل العمل عن بعد أو الأجهزة المحمولة فقط في الملحق أ من معيار ISMS المعروف ، والذي يحتوي على أهداف وقياسات للمستخدمين. ولكن حتى التدابير الواردة في الملحق أ للمعيار تذكرنا أنه لا تزال هناك عمليات ومواقف تناظرية في كل شركة يجب أن تؤخذ في الاعتبار فيما يتعلق بأمن المعلومات.
قد يستخدم أي شخص يتحدث بصوت عالٍ عن مواضيع حساسة عبر الهاتف الذكي في الأماكن العامة ، على سبيل المثال في القطار ، قنوات الاتصال الرقمية ، لكن سوء سلوكه هو في الواقع أمر تناظري. ومن الأفضل لأي شخص لا يقوم بتنظيف مكتبه أن يغلق مكتبه للحفاظ على السرية. على الأقل ، لا يزال الإجراء الأول ، كواحد من أكثر التدابير الفردية فعالية لحماية المعلومات بشكل آمن ، يتم يدويًا ، حتى الآن ...
أمن تكنولوجيا المعلومات مقابل أمن المعلومات - خاتمة
أمن تكنولوجيا المعلومات وأمن المعلومات هما مصطلحان غير قابلين للتبادل (حتى الآن). بدلاً من ذلك ، يعد أمن تكنولوجيا المعلومات أحد مكونات أمن المعلومات ، والذي يتضمن بدوره الحقائق التناظرية والعمليات والاتصالات - والتي ، بالمناسبة ، لا تزال شائعة في العديد من الحالات اليوم. ومع ذلك ، فإن زيادة الرقمنة تقرب هذه المصطلحات من بعضها ، بحيث يصبح الاختلاف في المعنى هامشيًا بشكل أكبر على المدى الطويل.
ما الذي يمكن أن تتوقعه منا
DQS هو متخصصك في عمليات التدقيق والشهادات - لأنظمة الإدارة والعمليات. مع 35 عامًا من الخبرة والدراية التي يتمتع بها 2500 مدقق في جميع أنحاء العالم ، نحن شريكك المختص في الاعتماد لجميع جوانب أمن المعلومات وحماية البيانات.
هل لديك اسئلة؟
اتصل بنا!
بدون التزام وبدون مقابل.
نحن لا نتحدث فقط عن الكفاءة المهنية ، بل لدينا ذلك: يمكنك أن تتوقع سنوات عديدة من الخبرة المهنية العملية من جميع مدققي DQS لدينا. مجمعة في منظمات من كل حجم وكل صناعة. مع هذا التنوع ، نضمن أن مدقق DQS الرئيسي الخاص بك سوف يتعاطف مع وضع شركتك الفردية وثقافة الإدارة. يعرف المدققون لدينا أنظمة الإدارة من تجربتهم الخاصة ، أي أنهم أنشأوا وأداروا وطوروا بأنفسهم ISMS - وهم يعرفون التحديات اليومية من تجربتهم الخاصة. نريد التحدث معكم.
النشرة الإخبارية DQS
ابق على اطلاع واشترك في النشرة الإخبارية لدينا!
مؤلف
Gert Krueger
Expert and project manager for information security, BSI-KritisV and data protection at DQS. In addition, long-standing auditor for quality and environmental management.
Loading...