Professional Documents
Culture Documents
المبحث الثاني
المبحث الثاني
متطلبات :ISO 27000هناك عدة متطلبات للحصول على هذا المعيار و تطبيقها ،
و هي كالتالي . . ) Calder and Van Bon 200 6 ( :
تقييم المخاطر . -
السياسة األمنية . -
الهيكل التنظيمي ألمن المعلومات . -
إدارة األصول . -
إدارة أمن الموارد البشرية . -
أمن المرافق و البيئة المحيطة . -
إدارة العمليات و اإلتصاالت . -
التحكم في األصول . -
حيازة نظم المعلومات و تطويرها و صيانتها . -
إدارة الحوادث العرضية لتقنية المعلومات . -
إدارة استمرارية الخدمة . -
إدارة التوافقية مع األنظمة و التشريعات . -
أبعاد المواصفة rالقياسية : ISO 27001
سياسة األمن : Sécurity Policyيعمل هذا البعد على توثيق أهداف الـ( ) ISMS
لمساعدة إدارة المنظمة على تقديم الدعم و التوجيه المناسبين .
تنظيم أمن المعلومات : Organisation of Information Securityيمكن هذا
البعد غدارة المنظمة من فرض سيطرة أمنية على كل المعلومات الخاصة بها و التي
تقع تحت نطاق سيطرتها ،عن طريق مجموعة من السياسات و اإلجراءات و المهام
األمنية و المسؤوليات .
إدارة الموجودات : Asset Managementيعمل ها البعد على إدارة كل
الموجودات الطبيعية و الفكرية من خالل تقديم الحماية المالئمة لها ،و ذلك عن
طريق تحديد ملكية و مسؤولية حماية مصادر المعلومات .
أمن الموارد البشرية : Human Resources Securityالغرض من هذا البعد هو
تقليل المخاطر الناجمة عن األخطاء البشرية ،و تمكن إدارة الموارد البشرية من تقييم
أداء كل العاملين في المنظمة بصورة أكثر فعالية عن طريق المسؤوليات األمنية
المحددة لكل العاملين و ضمن مواقعهم في التنظيم .
األمن الطبيعي و البيئي : Physical & Environmental Securityيساهم هذا
البعد في تأمين المناطق المادية ( Physical Areasتسهيالت معالجة المعلومات )
و بيئة العمل داخل المنظمة في إدارة أمن المعلومات بصورة فاعلة ،إذ أن أي
عنصر يقع ضمن نطاق عمل المنظمة من تسهيالت و عاملين و زبائن و مجهزين
يؤدي دورا مهما في نجاح عملية حماية أمن المنظمة .
إدارة العمليات و اإلتصاالت:Communication & Operation Management
يوفر هذا البعد مجموعة من التسهيالت المتكثلة بـ ( التسليم اآلمن ،إدارة العمليات
اليومية ،و وسائل تشغيل البيانات و الشبكات ) .
السيطرة على الدخول : Access Controlتعد السيطرة على عمليات دخول
العاملين لنظام المعلومات بعدا رئيسيا في حماية معلومات المنظمة من اإلختراقات
الشبكية .
تطوير و صيانة أنظمة أمن المعلومات Information Systems Acquisition ,
: Development & Maintenanceيهدف هذا البعد إلى تأكيد األمن في نظم
المعلومات و العمل على توفير متطلبات صيانتها و المحافظة عليها .
اإلدارة العرضية : Incident Managementيساعد هذا البعد على مواجهة
الحاالت الطارئة و تحديد مواقع الضعف في إدارة أمن المعلومات و تقدم الحلول
المناسبة من خالل بناء نظام إتصال فاعل بين المستويات التنظيمية المختلفة .
إدارة استمرارية العمل : Business Coutinuty Managementيسمح هذا البعد
بوجود مرونة مناسبة تسمح بمواجهة حاالت الكوارث الطبيعية و حاالت الفشل و
العراقيل غير المتوقعة ،تساعد على استمرارية أنشطة حماية المعلومات .
اإللتزام : Complianceيسعى هذا البعد إلى تجنب ثغرات أو اختراقات ألي قوانين
أو تشريعات مدنية أو جنائية ،و يعرف اإللتزامات المتعاقد عليها و متطلبات
سياسات األمن التنظيمية و فعاليات عمليات مراجعة النظام واإلجراءات األمنية .
إن أهم الفوائد المتحققة من إجراء استخدام المواصفة القياسية ISO 27001إلدارة أمن
المعلومات تتمثل بما يأتي :