موسوعة الجهات الحاصلة على شهادات نظم إدارة الجودة في الدول الأعضاء

ISO/IEC 27001 – أسس ومبادئ نظام إدارة سرية المعلومات

اسس ومبادئ نظام إدارة سرية المعلومات ISO/IEC 27001

إن مجموعة المواصفات الدولية 27001 ISO\IEC والصادرة عن المنظمة الدولية لتوحيد القياسيISO بالتعاون مع IEC في عام 2005 عن طريق اللجان الفنية ISO/IEC JTC 1, ISO/SC 27 وهي تطوير للمواصفات البريطانية BS 7799 وهذا لمخاطبة الموضوعات الخاصة بسرية المعلومات .

وصدر عن منظمة ISO منذ ذلك الحين عدد كبير من المواصفات والتقارير الفنية والأدلة الإرشادية لخدمة أنظمة إدارة سرية المعلومات وذلك كما يوضحها البيان التالي حيث يبين الللون الأحمر تلك الوثائق التي تم صدورها (يرحى الرجوع إلى موقع منظمة ISO للتأكد من الإصدارات):

  • ISO/IEC 27000:2009 – provides an overview or introduction to the ISO27k standards and defines the specialist vocabulary used throughout the ISO27k series.
  • ISO/IEC 27001:2005is the Information Security Management System (ISMS) requirements standard, a specification for an ISMS against which thousands of organizations have been certified compliant.
  • ISO/IEC 27002:2005is the code of practice for information security management describing a comprehensive set of information security control objectives and a set of generally accepted good practice security controls.
  • ISO/IEC 27003:2010 provides implementation guidance for ISO/IEC 27001.
  • ISO/IEC 27004:2009 is an information security management measurement standard suggesting metrics to improve the effectiveness of an ISMS.
  • ISO/IEC 27005:2008 is an information security risk management standard with advice on selecting appropriate risk analysis and management tools and methods.
  • ISO/IEC 27006:2007 is a guide to the certification or registration process for accredited ISMS certification/registration bodies who award ISO/IEC 27001 certificates.
  • ISO/IEC 27007will be a guideline for auditing Information Security Management Systems.   It is expected to focus on auditing the management system elements.
  • ISO/IEC TR 27008 will provide guidance on auditing information security controls.  It is expected to focus on auditing the information security controls.
  • ISO/IEC 27010 will be a multi-partite standard providing guidance on information security management for sector-to-sector communications.
  • ISO/IEC 27011:2008 is the information security management guideline for telecommunications organizations (also known as ITU X.1051).
  • ISO/IEC 27013 will provide guidance on the integrated implementation of ISO/IEC 20000-1 (IT Service Management) and ISO/IEC 27001 (ISMS).
  • ISO/IEC 27014 will cover information security governance.
  • ISO/IEC 27015 will provide information security management systems guidance for financial services organizations.
  • ISO/IEC 27031will be an ICT-focused standard on business continuity.
  • ISO/IEC 27032 will provide guidelines for cyber security.
  • ISO/IEC 27033will replace the multi-part ISO/IEC 18028 standard on IT network security.
  • ISO/IEC 27034 will provide guidelines for application security.
  • ISO/IEC 27035 will replace ISO TR 18044 on security incident management.
  • ISO/IEC 27036guideline for security of outsourcing (new project).
  • ISO/IEC 27037 guideline for digital evidence (new project).

وأهمها على وجه الإطلاق المواصفتين الدوليتين ISO/IEC 27001:2005 و ISO/IEC 27002:2005 والأولى تعطي متطلبات نظام الإدارة لأمن المعلومات والثانية تغطي أساليب الممارسة الحسنة للسيطرة على أمن المعلومات.

وتطبق المواصفة ISO/IEC 27001:2005 على أية منظمة أيا كان حجمها أو منتجاتها ومن الممكن بعد تطبيق النظام أن يتم التقدم إلى جهات منح شهادة للحصول علىشهادة مطابقة للمنظمة.

سرية المعلومات في نظر المواصفة: ISO/IEC 27001:2005

The specification ISO / IEC 27002:2005 also specifies the confidentiality of information as to maintain:

Privacy: Confirm that the information is obtained only by those who have the authority to do so.

Integration: Confirm the accuracy and integrity of information and working methods

Availability: Confirmation that the persons authorized to have access to the information and other sources where it is required.

مجالات المواصفة ISO/IEC 27001 :

  • إدارة مخاطر تقنية المعلومات
  • سياسة أمن المعلومات
  • أمن موظفي المنظمة
  • سلامة بيئة العمل وأمن الممتلكات
  • أدارة الإتصالات وعمليات التشغيل
  • التحكم بالوصول الى الأماكن.
  • أمن المعلومات وإدارة الحوادث
  • إدارة استمرارية جاهزية العمل

مراحل تطبيق وتقييم نظام إدارة أمن المعلومات

فوائد الحصول على شهادات ISO/IEC 27001:2005

  1. رضاء العميل
  2. تحسين العلاقة مع المجتمع
  3. إرضاء المستثمر
  4. تحسين صورة المنشأة ونسبة المشاركة فى السوق
  5. الوفاء بمتطلبات إجازة النظام
  6. تحسين السيطرة على التكلفة
  7. تقليل حالات فقد المعلومات
  8. إظهار الاهتمام
  9. تحسين العلاقة مع الحكومة
  10. المحافظة على ممتلكات المنظمة سواءاً كانت معنوية مثل المعلومات او البرامج او مادية مثل الأجهزة والمباني.
  11. زيادة الوعي لجميع موظفي المنظمة بأهمية أمن المعلومات وماهي النتائج السلبية المترتبة على عدم الإلتزام بذلك.
  12. الاالتزام بالمواصفة ISO/IEC 27001 ، وبالمواصفات عموما دليل على اهتمام المنظمة بتطوير ادائها وحرصها على الإلتزام بأعلى المعايير لتقديم خدمة أفضل.
  13. زيادة التنافسية للمنظمة مقارنة بالمنظمات الأخرى العاملة في نفس المجال.
  14. تبرهن لعملاء المنظمة من الأفراد والشركات على مستوى أمن المعلومات المستخدم.
  15. جاهزية المنظمة على مواصلة اداء أعمالها في حالة حصول الحوادث الطارئة والطبيعية.
  16. زيادة التواصل بين موظفي تقنية المعلومات والإدارة العليا للمنظمة.
  17. تسهيل عملية الإنتقال و الحصول على المواصفة الدولية ISO 9000.

الشهادات

X

 

نحن نرحب بتعليقاتك!

شكرا لتصفحكم موقعنا. ساعدنا على تحسين تجربتك من خلال إجراء استطلاع الرأي القصير.

بالنقر على نعم، ستتم إعادة توجيهك إلى صفحة الاستبيان.

 
نعم   لا شكرا