Scribd Logo
Upload

Welcome to Scribd!

  • المبحث الثاني

    Uploaded by

    Amir mi
    7 views3 pages

    Original Title

    المبحث-الثاني (2)

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    7 views3 pages

    المبحث الثاني

    Uploaded by

    Amir mi

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 3

    ‫المبحث الثاني ‪:‬‬

    ‫المطلب األول ‪:‬‬


    ‫مفهوم ‪: ISO 27000‬‬
    ‫هو أحد معايير المنظمة العالمية للمعايير ‪ International Standard Organisation :‬أو‬
    ‫اإليزو ‪ ، ISO‬و قد طور هذا المعيار بالتعاون مع منظمة الكهروتقنية الدولية‬
    ‫‪ ، International Electrotachnical Commission‬و اختصارا ‪ ، IEC‬و هذا‬
    ‫المعيار جزء من مجموعة معايير تسمى ‪ ISO/IEC 27000‬أو يطلق عليها معايير تقنية‬
    ‫المعلومات – تقنيات المعلومات – كود الممارسة األفضل إلدارة أمن المعلومات ( ‪Van‬‬
    ‫‪ ، ) Bon ,2008‬و يهدف هذا المعيار إليجاد خطط و مبادئ أساسية إلنشاء و تنفيذ و‬
    ‫صيانة و تطوير نظم إدارة أمن المعلومات في المنظمة ‪.‬‬

    ‫متطلبات ‪ :ISO 27000‬هناك عدة متطلبات للحصول على هذا المعيار و تطبيقها ‪،‬‬ ‫‪‬‬
    ‫و هي كالتالي ‪. . ) Calder and Van Bon 2006 ( :‬‬
    ‫تقييم المخاطر ‪.‬‬ ‫‪-‬‬
    ‫السياسة األمنية ‪.‬‬ ‫‪-‬‬
    ‫الهيكل التنظيمي ألمن المعلومات ‪.‬‬ ‫‪-‬‬
    ‫إدارة األصول ‪.‬‬ ‫‪-‬‬
    ‫إدارة أمن الموارد البشرية ‪.‬‬ ‫‪-‬‬
    ‫أمن المرافق و البيئة المحيطة ‪.‬‬ ‫‪-‬‬
    ‫إدارة العمليات و اإلتصاالت ‪.‬‬ ‫‪-‬‬
    ‫التحكم في األصول ‪.‬‬ ‫‪-‬‬
    ‫حيازة نظم المعلومات و تطويرها و صيانتها ‪.‬‬ ‫‪-‬‬
    ‫إدارة الحوادث العرضية لتقنية المعلومات ‪.‬‬ ‫‪-‬‬
    ‫إدارة استمرارية الخدمة ‪.‬‬ ‫‪-‬‬
    ‫إدارة التوافقية مع األنظمة و التشريعات ‪.‬‬ ‫‪-‬‬
    ‫أبعاد المواصفة‪ r‬القياسية ‪: ISO 27001‬‬ ‫‪‬‬

    ‫تتمثل األبعاد المكونة للمواصفة‪ r‬القياسية ‪ ISO 27001‬في ما يلي ‪:‬‬


    ‫سياسة األمن ‪ : Sécurity Policy‬يعمل هذا البعد على توثيق أهداف الـ( ‪) ISMS‬‬ ‫‪‬‬
    ‫لمساعدة إدارة المنظمة على تقديم الدعم و التوجيه المناسبين ‪.‬‬
    ‫تنظيم أمن المعلومات ‪ : Organisation of Information Security‬يمكن هذا‬ ‫‪‬‬
    ‫البعد غدارة المنظمة من فرض سيطرة أمنية على كل المعلومات الخاصة بها و التي‬
    ‫تقع تحت نطاق سيطرتها ‪ ،‬عن طريق مجموعة من السياسات و اإلجراءات و المهام‬
    ‫األمنية و المسؤوليات ‪.‬‬
    ‫إدارة الموجودات ‪ : Asset Management‬يعمل ها البعد على إدارة كل‬ ‫‪‬‬
    ‫الموجودات الطبيعية و الفكرية من خالل تقديم الحماية المالئمة لها ‪ ،‬و ذلك عن‬
    ‫طريق تحديد ملكية و مسؤولية حماية مصادر المعلومات ‪.‬‬
    ‫أمن الموارد البشرية ‪ : Human Resources Security‬الغرض من هذا البعد هو‬ ‫‪‬‬
    ‫تقليل المخاطر الناجمة عن األخطاء البشرية ‪ ،‬و تمكن إدارة الموارد البشرية من تقييم‬
    ‫أداء كل العاملين في المنظمة بصورة أكثر فعالية عن طريق المسؤوليات األمنية‬
    ‫المحددة لكل العاملين و ضمن مواقعهم في التنظيم ‪.‬‬
    ‫األمن الطبيعي و البيئي ‪ : Physical & Environmental Security‬يساهم هذا‬ ‫‪‬‬
    ‫البعد في تأمين المناطق المادية ‪ ( Physical Areas‬تسهيالت معالجة المعلومات )‬
    ‫و بيئة العمل داخل المنظمة في إدارة أمن المعلومات بصورة فاعلة ‪ ،‬إذ أن أي‬
    ‫عنصر يقع ضمن نطاق عمل المنظمة من تسهيالت و عاملين و زبائن و مجهزين‬
    ‫يؤدي دورا مهما في نجاح عملية حماية أمن المنظمة ‪.‬‬
    ‫إدارة العمليات و اإلتصاالت‪:Communication & Operation Management‬‬ ‫‪‬‬
    ‫يوفر هذا البعد مجموعة من التسهيالت المتكثلة بـ ( التسليم اآلمن ‪ ،‬إدارة العمليات‬
    ‫اليومية ‪ ،‬و وسائل تشغيل البيانات و الشبكات ) ‪.‬‬
    ‫السيطرة على الدخول ‪ : Access Control‬تعد السيطرة على عمليات دخول‬ ‫‪‬‬
    ‫العاملين لنظام المعلومات بعدا رئيسيا في حماية معلومات المنظمة من اإلختراقات‬
    ‫الشبكية ‪.‬‬
    ‫تطوير و صيانة أنظمة أمن المعلومات ‪Information Systems Acquisition ,‬‬ ‫‪‬‬
    ‫‪ : Development & Maintenance‬يهدف هذا البعد إلى تأكيد األمن في نظم‬
    ‫المعلومات و العمل على توفير متطلبات صيانتها و المحافظة عليها ‪.‬‬
    ‫اإلدارة العرضية ‪ : Incident Management‬يساعد هذا البعد على مواجهة‬ ‫‪‬‬
    ‫الحاالت الطارئة و تحديد مواقع الضعف في إدارة أمن المعلومات و تقدم الحلول‬
    ‫المناسبة من خالل بناء نظام إتصال فاعل بين المستويات التنظيمية المختلفة ‪.‬‬
    ‫إدارة استمرارية العمل ‪ : Business Coutinuty Management‬يسمح هذا البعد‬ ‫‪‬‬
    ‫بوجود مرونة مناسبة تسمح بمواجهة حاالت الكوارث الطبيعية و حاالت الفشل و‬
    ‫العراقيل غير المتوقعة ‪ ،‬تساعد على استمرارية أنشطة حماية المعلومات ‪.‬‬
    ‫اإللتزام ‪ : Compliance‬يسعى هذا البعد إلى تجنب ثغرات أو اختراقات ألي قوانين‬ ‫‪‬‬
    ‫أو تشريعات مدنية أو جنائية ‪ ،‬و يعرف اإللتزامات المتعاقد عليها و متطلبات‬
    ‫سياسات األمن التنظيمية و فعاليات عمليات مراجعة النظام واإلجراءات األمنية ‪.‬‬

    ‫‪-4‬مميزات تطبيق المواصفة القياسية اإليزو ‪2005:27001‬‬


    ‫من مميزات تطبيق المواصفة القياسية االيزو ‪ 2005:27100‬بشان امن و سرية‬
    ‫المعلومات مايلي ‪:‬‬
    ‫‪ -‬المفاضلة بين المنافسين و كذلك الحصول على معلومات بتكاليف منخفضة ‪.‬‬
    ‫‪ -‬المصداقية و زيادة القة ‪.‬‬
    ‫‪ -‬زيادة ثقة الزبائن و أصحاب العالقة ‪.‬‬
    ‫‪ -‬تحسين الشراكة ( العمل مع الشريك ) ‪.‬‬
    ‫‪ -‬التنظيم و حماية الشريك التجاري ‪.‬‬
    ‫‪ -‬شهادة تفيد بأهلية المنظمة و تطبيقها لكل القوانين و التعليمات النافذة ‪.‬‬

    You might also like