يبحث 

طرق إنشاء نظام إدارة أمن المعلومات في المؤسسات في منطقة دونيتسك. نظام إدارة أمن المعلومات

حقا، إنه أمر محرج. أبلغنا عن الإصدار الوشيك لمعيار ISO 45001، والذي ينبغي أن يحل محل معيار إدارة السلامة والصحة المهنية الحالي OHSAS 18001، وقلنا إننا يجب أن نتوقع صدوره في نهاية عام 2016... لقد حل منتصف الليل تقريبًا، ولا توجد حتى الآن علامة على ذلك هيرمان. حان الوقت للاعتراف بتأخر ISO 45001. صحيح، بحسب أسباب وجيهة. كان لدى مجتمع الخبراء الكثير من الأسئلة بالنسبة له. […]

  • هناك مقال مزدوج في المستقبل القريب. منظمة عالميةلقد عبرت لجنة التقييس بوضوح عن موقفها بشأن استخدام علاماتها القياسية على المنتجات - ISO تقول "لا". ومع ذلك، لا يزال رواد الأعمال يريدون القيام بذلك. كيف ينبغي أن يكونوا؟ لماذا لا بالضبط؟ خلفية السؤال هي كما يلي. كما تفهم، لا ترتبط معايير ISO بشكل مباشر بالمنتجات المصنعة من قبل الشركات المعتمدة لها. […]

  • دعونا ننتهي من الموضوع. في المقالة الأخيرة، بدأنا محادثة حول المبادئ الثمانية لنظام إدارة الجودة. المبادئ التي يبنى عليها أي نظام لإدارة الجودة. هدفنا هو ترجمة هذه المبادئ من لغة مدربي الأعمال إلى لغة الإنسان. بحيث يمكن استخلاص فوائد حقيقية منها. تحدثنا عن توجيه العملاء. تحدثوا عن كيفية إنتاج ليس "شيء [...]

  • يتحدث الكثير من الناس عن إدارة الجودة. لكن لسبب ما يقولون ذلك بطريقة لا يكون هناك شيء واضح في النهاية. وهذا يعني أن إدارة الجودة تظل مجرد كلمات. أكثر مما ينبغي بكلمات ذكية. دعونا نترجمها إلى لغة عادية ونفهم كيف تساعد مبادئ إدارة الجودة حقًا في تحسين أنشطة الشركة. دعونا نفعل ذلك دون مقدمات طويلة. في المجمل، أنظمة إدارة الجودة ذات الصلة حاليًا، وأكثرها شيوعًا [...]

  • ادارة مشروع... أنا متأكد من أن هناك العديد من الأشخاص الذين أمضوا الكثير من الوقت في التواصل مع جميع أنواع مستشاري الأعمال - والآن بمجرد سماع مثل هذه العبارة يبدأون في الشعور بالغثيان قليلاً. ما يجب القيام به؟ دعونا فقط نخرج مستشاري الأعمال من رؤوسنا ونضع الأمر بلغة بشرية. إدارة المشاريع ليست بالضرورة شخصًا يرتدي قميصًا أبيض ويرسم مخططات ومخططات انسيابية معقدة باستخدام علامة […]

    • (سميب)- هذا الجزء النظام المشتركالإدارة، والتي تعتمد على نهج مخاطر الأعمال في الإنشاء والتنفيذ والتشغيل والمراقبة والتحليل والدعم والتحسين أمن المعلومات.

    إذا تم تصميمه وفقًا لمتطلبات ISO/IEC_27001، فإنه يعتمد على نموذج PDCA:

      يخطط(التخطيط) - مرحلة إنشاء نظام إدارة أمن المعلومات (ISMS)، وإنشاء قائمة بالأصول، وتقييم المخاطر واختيار التدابير؛
      يفعل(الإجراء) - مرحلة التنفيذ وتنفيذ التدابير المناسبة؛
      يفحص(التحقق) - مرحلة تقييم فعالية وأداء نظام إدارة أمن المعلومات (ISMS). يتم تنفيذها عادة من قبل المدققين الداخليين.
      يمثل(التحسينات) - تنفيذ الإجراءات الوقائية والتصحيحية؛

    مفهوم أمن المعلومات

    يحدد معيار ISO 27001 أمن المعلومات بأنه: “الحفاظ على سرية المعلومات وسلامتها وتوافرها؛ بالإضافة إلى ذلك، قد يتم تضمين خصائص أخرى، مثل الأصالة، وعدم الإنكار، والموثوقية.

    سرية – التأكد من أن المعلومات متاحة فقط لأولئك الذين لديهم السلطة المناسبة (المستخدمين المصرح لهم).

    نزاهة – التأكد من دقة واكتمال المعلومات وطرق معالجتها.

    التوفر – توفير الوصول إلى المعلومات للمستخدمين المصرح لهم عند الضرورة (عند الطلب).

    4 نظام إدارة أمن المعلومات

    4.1 المتطلبات العامة

    يجب على المنظمة إنشاء وتنفيذ واستخدام ومراقبة ومراجعة وصيانة وتحسين أحكام نظام إدارة المعلومات الموثقة في جميع أنحاء أنشطة أعمال المنظمة والمخاطر التي تواجهها. لتحقيق الفائدة العملية لهذه المواصفة القياسية الدولية، تعتمد العملية المستخدمة على نموذج PDCA الموضح في الشكل. 1.

    4.2 إنشاء وإدارة ISMS

    4.2.1 إنشاء نظام إدارة أمن المعلومات (ISMS).

    يجب على المنظمة القيام بما يلي.

    أ) مع الأخذ في الاعتبار تفاصيل أنشطة المنظمة، تحدد المنظمة نفسها وموقعها وأصولها وتقنياتها نطاق وحدود نظام إدارة أمن المعلومات (ISMS)، بما في ذلك تفاصيل ومبررات استبعاد أي أحكام في الوثيقة من مشروع نظام إدارة أمن المعلومات (انظر 1.2 ).

    ب) مع الأخذ في الاعتبار خصائص أنشطة المنظمة، تقوم المنظمة نفسها وموقعها وأصولها وتقنياتها بتطوير سياسة ISMS التي:

    1) يتضمن نظامًا لتحديد الأهداف (الأهداف) ويحدد الاتجاه العام للإدارة ومبادئ العمل فيما يتعلق بأمن المعلومات؛

    2) يأخذ في الاعتبار المتطلبات التجارية والقانونية أو التنظيمية، والالتزامات الأمنية التعاقدية؛

    3) مرتبط ببيئة إدارة المخاطر الإستراتيجية التي يتم فيها إنشاء وصيانة نظام إدارة أمن المعلومات (ISMS)؛

    4) يحدد المعايير التي سيتم من خلالها تقييم المخاطر (انظر 4.2.1 ج))؛ و

    5) معتمدة من الإدارة.

    ملحوظة: لأغراض هذه المواصفة القياسية الدولية، تعتبر سياسة ISMS بمثابة مجموعة موسعة من سياسات أمن المعلومات. ويمكن وصف هذه السياسات في وثيقة واحدة.

    ج) تطوير مفهوم تقييم المخاطر في المنظمة.

    1) تحديد منهجية تقييم المخاطر التي تناسب نظام إدارة أمن المعلومات (ISMS) ومتطلبات أمن معلومات الأعمال والمتطلبات القانونية والتنظيمية.

    2) وضع معايير قبول المخاطر وتحديد مستويات المخاطر المقبولة (انظر 5.1و).

    يجب أن تضمن منهجية تقييم المخاطر المختارة أن يؤدي تقييم المخاطر إلى نتائج قابلة للمقارنة وقابلة للتكرار.

    ملاحظة: هناك منهجيات مختلفة لتقييم المخاطر. تمت مناقشة أمثلة منهجيات تقييم المخاطر في MOS/IEC TU 13335-3، تكنولوجيا المعلومات – توصيات للإدارةهو - هيالأمن - أساليب الإدارةهو - هيحماية.

    د) تحديد المخاطر.

    1) تحديد الأصول في إطار أحكام نظام إدارة أمن المعلومات والمالكين 2 (2 يتم تحديد مصطلح "المالك" مع الفرد أو الكيان المعتمد ليكون مسؤولاً عن مراقبة الإنتاج والتطوير صيانةوالتطبيقات وأمن الأصول. لا يعني مصطلح "المالك" أن الشخص لديه بالفعل أي حقوق ملكية للأصل.

    2) تحديد المخاطر التي تتعرض لها هذه الأصول.

    3) تحديد نقاط الضعف في النظام الأمني.

    4) تحديد التأثيرات التي تدمر سرية وسلامة وتوافر الأصول.

    ه) تحليل وتقييم المخاطر.

    1) تقييم الأضرار التي تلحق بأعمال المنظمة والتي قد تنجم عن فشل النظام الأمني، وكذلك الناتجة عن انتهاك سرية الأصول أو سلامتها أو توافرها.

    2) تحديد احتمالية الفشل الأمني ​​في ضوء المخاطر ونقاط الضعف السائدة وتأثيرات الأصول والضوابط المطبقة حاليًا.

    3) تقييم مستويات المخاطر.

    4) تحديد مدى قبول الخطر، أو طلب الحد منه، باستخدام معايير قبول المخاطر المنصوص عليها في 4.2.1ج)2).

    و) تحديد وتقييم أدوات الحد من المخاطر.

    تشمل الإجراءات المحتملة ما يلي:

    1) تطبيق الضوابط المناسبة؛

    2) القبول الواعي والموضوعي للمخاطر، وضمان امتثالها غير المشروط لمتطلبات سياسة المنظمة ومعايير قبول المخاطر (انظر 4.2.1ج)2))؛

    3) تجنب المخاطر. و

    4) نقل مخاطر الأعمال ذات الصلة إلى طرف آخر، على سبيل المثال، شركات التأمين والموردين.

    ز) تحديد الأهداف والضوابط لتقليل المخاطر.

    يجب اختيار الأهداف والضوابط وتنفيذها وفقًا للمتطلبات التي تحددها عملية تقييم المخاطر والحد منها. وينبغي أن يأخذ هذا الاختيار في الاعتبار معايير تحمل المخاطر (انظر 4.2.1ج)2) والمتطلبات القانونية والتنظيمية والتعاقدية.

    يجب تحديد المهام وعناصر التحكم الموجودة في الملحق أ كجزء من هذه العملية لتلبية المتطلبات المحددة.

    نظرًا لعدم إدراج جميع المهام وعناصر التحكم في الملحق أ، فقد يتم تحديد مهام وعناصر تحكم إضافية.

    ملحوظة: يحتوي الملحق أ على قائمة شاملة بأهداف الإدارة التي تم تحديدها على أنها الأكثر صلة بالمنظمات. حتى لا تفوت واحدة نقطة مهمةبالنسبة لخيارات التحكم، يجب على مستخدمي هذه المواصفة القياسية الدولية الاعتماد على الملحق أ كنقطة بداية للتحكم في العينة.

    ح) الحصول على الموافقة لإدارة المخاطر المتبقية المتوقعة.

    4) تسهيل اكتشاف الأحداث الأمنية وبالتالي منع الحوادث الأمنية باستخدام مؤشرات معينة ؛ و

    5) تحديد مدى فعالية الإجراءات المتخذة لمنع الاختراق الأمني.

    ب) إجراء مراجعات منتظمة لفعالية نظام إدارة أمن المعلومات (بما في ذلك مناقشة سياسة نظام إدارة أمن المعلومات وأهدافه، ومراجعة الضوابط الأمنية)، مع الأخذ في الاعتبار نتائج عمليات التدقيق والحوادث ونتائج قياسات الأداء والاقتراحات والتوصيات من جميع الأطراف المعنية .

    ج) تقييم فعالية الضوابط لتحديد ما إذا تم استيفاء متطلبات السلامة.

    د) التحقق من تقييم المخاطر للفترات المخططة والتحقق من المخاطر المتبقية و المستويات المسموح بهاالمخاطر، مع الأخذ بعين الاعتبار التغيرات في:

    1) المنظمات؛

    2) التكنولوجيا؛

    3) أهداف وعمليات العمل؛

    4) التهديدات المحددة؛

    5) فعالية الضوابط المطبقة. و

    6) الأحداث الخارجية، مثل التغيرات في البيئة القانونية والإدارية، وتغيير الالتزامات التعاقدية، والتغيرات في المناخ الاجتماعي.

    هـ) إجراء عمليات تدقيق داخلية لنظام إدارة أمن المعلومات (ISMS) في الفترات المخطط لها (انظر 6)

    ملاحظة: يتم إجراء عمليات التدقيق الداخلي، والتي تسمى أحيانًا عمليات التدقيق الأولية، نيابة عن المنظمة نفسها لأغراضها الخاصة.

    و) مراجعة إدارة نظام إدارة أمن المعلومات (ISMS) على أساس منتظم للتأكد من أن الحكم لا يزال مناسبًا وأن نظام إدارة أمن المعلومات (ISMS) قيد التحسين.

    ز) تحديث الخطط الأمنية بناءً على البيانات التي يتم الحصول عليها من المراقبة والتدقيق.

    ح) تسجيل الأنشطة والأحداث التي قد يكون لها تأثير على فعالية أو أداء نظام إدارة أمن المعلومات (انظر 4.3.3).

    4.2.4 دعم وتحسين نظام إدارة أمن المعلومات (ISMS).

    يجب على المنظمة القيام بما يلي باستمرار.

    أ) تنفيذ بعض التصحيحات على نظام إدارة أمن المعلومات (ISMS).

    ب) اتخاذ الإجراءات التصحيحية والوقائية المناسبة وفقًا للبندين 8.2 و8.3. تطبيق المعرفة المتراكمة لدى المنظمة نفسها والمكتسبة من تجارب المنظمات الأخرى.

    ج) إبلاغ إجراءاتها وتحسيناتها إلى جميع الأطراف المعنية بمستوى من التفصيل يتناسب مع الموقف؛ وبالتالي تنسيق أعمالهم.

    د) التأكد من أن التحسينات تحقق الغرض المقصود منها.

    4.3 متطلبات التوثيق

    4.3.1 عام

    يجب أن تتضمن الوثائق البروتوكولات (السجلات) قرارات الإدارة، إقناع بأن الحاجة إلى العمل تحددها قرارات وسياسات الإدارة؛ وضمان استنساخ النتائج المسجلة.

    من المهم أن تكون قادرًا على الإثبات تعليقالضوابط المختارة مع نتائج تقييم المخاطر وعمليات الحد من المخاطر، ومن ثم مع سياسة ISMS وأهدافها.

    يجب أن تتضمن وثائق ISMS ما يلي:

    أ) البيانات الموثقة لسياسة وأهداف ISMS (انظر 4.2.1ب))؛

    ب) موقف ISMS (انظر 4.2.1أ))؛

    ج) المفهوم والضوابط لدعم نظام إدارة أمن المعلومات (ISMS)؛

    د) وصف منهجية تقييم المخاطر (انظر 4.2.1ج))؛

    ه) تقرير تقييم المخاطر (انظر 4.2.1ج) - 4.2.1ز))؛

    و) خطة الحد من المخاطر (انظر 4.2.2ب))؛

    ز) مفهوم موثق، التنظيم الضروريلضمان فعالية تخطيط وتشغيل وإدارة عمليات أمن المعلومات الخاصة بها ووصف كيفية قياس فعالية الضوابط (انظر 4.2.3ج))؛

    ح) المستندات المطلوبة بموجب هذه المواصفة القياسية الدولية (انظر 4.3.3)؛ و

    ط) بيان الانطباق.

    الملاحظة 1: لأغراض هذه المواصفة القياسية الدولية، يعني مصطلح "المفهوم الموثق" أن المفهوم قد تم تنفيذه وتوثيقه وتنفيذه ومتابعته.

    الملاحظة 2: قد يختلف حجم وثائق ISMS في المؤسسات المختلفة اعتمادًا على:

    حجم المنظمة ونوع أصولها؛ و

    حجم وتعقيد متطلبات الأمان والنظام المُدار.

    ملاحظة 3: يمكن تقديم الوثائق والتقارير بأي شكل من الأشكال.

    4.3.2 التحكم بالوثائق

    يجب حماية وتنظيم المستندات التي يتطلبها نظام إدارة أمن المعلومات (ISMS). من الضروري الموافقة على إجراءات التوثيق اللازمة لوصف إجراءات الإدارة من أجل:

    أ) التحقق من امتثال الوثائق لمعايير معينة قبل نشرها؛

    ب) فحص وتحديث المستندات حسب الضرورة، وإعادة الموافقة على المستندات؛

    ج) التأكد من أن التغييرات تتسق مع الوضع الحالي للوثائق المنقحة؛

    د) ضمان توافر الإصدارات الهامة من الوثائق الحالية؛

    ه) التأكد من أن الوثائق مفهومة وقابلة للقراءة؛

    و) التأكد من أن الوثائق في متناول من يحتاجون إليها؛ وكذلك نقلها وتخزينها وإتلافها نهائيا وفقا للإجراءات المطبقة تبعا لتصنيفها.

    ز) التحقق من صحة الوثائق من مصادر خارجية؛

    ح) مراقبة توزيع الوثائق؛

    ط) منع الاستخدام غير المقصود للوثائق القديمة؛ و

    ي) تطبيق الطريقة المناسبة للتعرف عليهم إذا تم الاحتفاظ بهم تحسبًا.

    4.3.3 التحكم في السجلات

    يجب إنشاء السجلات والحفاظ عليها لضمان الامتثال للمتطلبات والتشغيل الفعال لنظام إدارة أمن المعلومات (ISMS). يجب حماية السجلات والتحقق منها. يجب أن يأخذ نظام إدارة أمن المعلومات (ISMS) في الاعتبار أي متطلبات قانونية وتنظيمية والتزامات تعاقدية. يجب أن تكون السجلات مفهومة ويمكن التعرف عليها بسهولة واسترجاعها. يجب توثيق ووضع الضوابط اللازمة لتحديد السجلات وتخزينها وحمايتها واستعادتها وفترة الاحتفاظ بها وتدميرها.

    يجب أن تتضمن السجلات معلومات حول تنفيذ الأنشطة الموضحة في 4.2 وحول جميع الحوادث وحوادث السلامة الهامة المتعلقة بنظام إدارة أمن المعلومات (ISMS).

    تتضمن أمثلة السجلات سجل الضيوف وسجلات التدقيق ونماذج ترخيص الوصول المكتملة.

    يصف معيار BS ISO/IEC 27001:2005 نموذج نظام إدارة أمن المعلومات (ISMS) ويقدم مجموعة من المتطلبات لتنظيم أمن المعلومات في المؤسسة دون الرجوع إلى طرق التنفيذ التي اختارها فنانو المؤسسة.

    الفحص - مرحلة تقييم فعالية وأداء نظام إدارة أمن المعلومات (ISMS). يتم تنفيذها عادة من قبل المدققين الداخليين.

    يتم اتخاذ قرار إنشاء نظام إدارة أمن المعلومات (ومن ثم التصديق عليه) من قبل الإدارة العليا للمنظمة. يوضح هذا دعم الإدارة وتأكيد قيمة نظام إدارة أمن المعلومات (ISMS) للأعمال. تبدأ إدارة المنظمة في إنشاء مجموعة تخطيط ISMS.

    يجب أن تشمل المجموعة المسؤولة عن تخطيط نظام إدارة أمن المعلومات (ISMS):

    · ممثلو الإدارة العليا للمنظمة.

    · ممثلو وحدات الأعمال التي يغطيها نظام إدارة أمن المعلومات (ISMS).



    · المختصون بإدارات أمن المعلومات.

    · استشاريون خارجيون (إذا لزم الأمر).

    تقدم لجنة IS الدعم لتشغيل نظام ISMS وتحسينه المستمر.

    فريق العمليجب أن يسترشد بالإطار التنظيمي والمنهجي، سواء فيما يتعلق بإنشاء نظام إدارة أمن المعلومات (ISMS) أو فيما يتعلق بمجال نشاط المنظمة، وبالطبع النظام العام لقوانين الدولة.

    القاعدة المعياريةبشأن إنشاء ISMS:

    · ISO/IEC 27000:2009 المفردات والتعاريف.

    · ISO/IEC 27001:2005 المتطلبات العامة لنظام إدارة أمن المعلومات (ISMS).

    آيزو/آي إي سي 27002:2005 دليل عمليبشأن إدارة أمن المعلومات.

    · ISO/IEC 27003:2010 إرشادات عملية لتنفيذ نظام إدارة أمن المعلومات (ISMS).

    · ISO/IEC 27004:2009 مقاييس (قياسات) أمن المعلومات.

    · دليل ISO/IEC 27005:2011 لإدارة مخاطر أمن المعلومات.

    · دليل ISO/IEC 73:2002، إدارة المخاطر – المفردات – المبادئ التوجيهية للاستخدام في المعايير.

    · ISO/IEC 13335-1:2004، تكنولوجيا المعلومات - تقنيات الأمن - إدارة أمن تكنولوجيا المعلومات والاتصالات - الجزء الأول: مفاهيم ونماذج لإدارة أمن تكنولوجيا المعلومات والاتصالات.

    · ISO/IEC TR 18044 تكنولوجيا المعلومات - تقنيات الأمن - إدارة حوادث أمن المعلومات.

    · ISO/IEC 19011:2002 المبادئ التوجيهية لتدقيق الجودة و/أو أنظمة الإدارة البيئية.

    · سلسلة معهد المعايير البريطانية لطرق إنشاء نظام إدارة أمن المعلومات (سابقاً: وثائق سلسلة PD 3000).

    تتكون عملية إنشاء ISMS من 4 مراحل:

    المرحلة 1. تخطيط ISMS

    وضع السياسات والأهداف والعمليات والإجراءات المتعلقة بإدارة المخاطر وأمن المعلومات بما يتوافق مع السياسات والأهداف العامة للمنظمة.

    أ) تحديد نطاق وحدود نظام إدارة أمن المعلومات (ISMS):

    · وصف نوع النشاط والأهداف التجارية للمنظمة.

    · الإشارة إلى حدود الأنظمة التي يغطيها نظام إدارة أمن المعلومات (ISMS).

    وصف أصول المنظمة (أنواعها مصادر المعلوماتوالبرمجيات والأجهزة والموظفين والهيكل التنظيمي)؛

    · وصف العمليات التجارية التي تستخدم المعلومات المحمية.

    يتضمن وصف حدود النظام ما يلي:

    وصف الهيكل الحالي للمنظمة (مع التغييرات المحتملةالتي قد تنشأ فيما يتعلق بتطوير نظام المعلومات).

    موارد نظام المعلومات المطلوب حمايتها ( هندسة الكمبيوتروالمعلومات والنظم والبرمجيات التطبيقية). ولتقييمها يجب اختيار نظام معايير ومنهجية للحصول على التقييمات وفق هذه المعايير (التصنيف).

    تكنولوجيا معالجة المعلومات والمشكلات التي يجب حلها. لكي يتم حل المهام، يجب بناء نماذج معالجة المعلومات من حيث الموارد.

    رسم تخطيطي لنظام المعلومات في المنظمة والبنية التحتية الداعمة له.

    كقاعدة عامة، في هذه المرحلة، يتم إعداد وثيقة تحدد حدود نظام المعلومات، وتسرد موارد المعلومات الخاصة بالشركة المراد حمايتها، وتوفر نظام معايير وطرق تقييم القيمة أصول المعلوماتشركات.

    ب) تحديد سياسة ISMS الخاصة بالمنظمة (النسخة الموسعة من SDS).

    · أهداف واتجاهات ومبادئ النشاط فيما يتعلق بأمن المعلومات.

    · وصف استراتيجية (نهج) إدارة المخاطر في المنظمة، وهيكلة التدابير المضادة لحماية المعلومات حسب النوع (قانونية، تنظيمية، أجهزة وبرامج، هندسية)؛

    · وصف معايير أهمية المخاطر.

    · موقف الإدارة، تحديد وتيرة الاجتماعات حول موضوعات أمن المعلومات على مستوى الإدارة، بما في ذلك المراجعة الدورية لأحكام سياسة أمن المعلومات، وكذلك إجراء تدريب جميع فئات مستخدمي نظام المعلومات على أمن المعلومات مشاكل.

    ج) تحديد أسلوب تقييم المخاطر في المنظمة.

    يتم اختيار منهجية تقييم المخاطر بناءً على نظام إدارة أمن المعلومات (ISMS) الذي تم وضعه متطلبات العملحماية المعلومات والمتطلبات القانونية والتنظيمية.

    يعتمد اختيار منهجية تقييم المخاطر على مستوى متطلبات نظام أمن المعلومات في المنظمة، وطبيعة التهديدات المأخوذة في الاعتبار (نطاق تأثير التهديدات) وفعالية التدابير المضادة المحتملة لحماية المعلومات. على وجه الخصوص، هناك متطلبات أساسية، وكذلك متطلبات متزايدة أو كاملة لنظام أمن المعلومات.

    يتوافق الحد الأدنى من متطلبات وضع أمن المعلومات مع المستوى الأساسي لأمن المعلومات. تنطبق هذه المتطلبات، كقاعدة عامة، على حلول التصميم القياسية. هناك عدد من المعايير والمواصفات التي تأخذ في الاعتبار الحد الأدنى (النموذجي) لمجموعة التهديدات الأكثر احتمالاً، مثل: الفيروسات، وأعطال الأجهزة، دخول غير مرخصإلخ. لتحييد هذه التهديدات، يجب اتخاذ تدابير مضادة، بغض النظر عن احتمالية تنفيذها وضعف الموارد. وبالتالي، ليس من الضروري النظر في خصائص التهديد على المستوى الأساسي. المعايير الأجنبية في هذا المجال هي ISO 27002، BSI، NIST، إلخ.

    في الحالات التي تؤدي فيها انتهاكات نظام أمن المعلومات إلى عواقب وخيمة، يتم فرض متطلبات إضافية إضافية.

    ولصياغة متطلبات إضافية إضافية، من الضروري:

    تحديد قيمة الموارد؛

    إضافة إلى مجموعة المعايير قائمة التهديدات ذات الصلة بنظام المعلومات قيد الدراسة؛

    تقييم احتمالية التهديدات؛

    تحديد نقاط الضعف في الموارد؛

    تقييم الضرر المحتمل من تأثير المتسللين.

    ومن الضروري اختيار منهجية تقييم المخاطر التي يمكن استخدامها مع الحد الأدنى من التغييرات على أساس مستمر. هناك طريقتان: استخدام الأساليب والأدوات الموجودة في السوق لتقييم المخاطر أو إنشاء منهجية خاصة بك، تتكيف مع تفاصيل الشركة ومجال النشاط الذي يغطيه نظام إدارة أمن المعلومات (ISMS).

    الخيار الأخير هو الأكثر تفضيلاً، حيث أن غالبية المنتجات الموجودة في السوق والتي تطبق تقنية معينة لتحليل المخاطر حتى الآن لا تلبي متطلبات المعيار. العيوب النموذجية لهذه الأساليب هي:

    · مجموعة قياسية من التهديدات ونقاط الضعف، والتي غالباً ما لا يمكن تغييرها.

    · قبول البرمجيات والأجهزة وموارد المعلومات كأصول فقط - دون مقابل الموارد البشريةوالخدمات والموارد الهامة الأخرى؛

    · التعقيد العام لهذه التقنية من حيث استخدامها المستدام والمتكرر.

    · معايير قبول المخاطر ومستويات المخاطر المقبولة (يجب أن تكون مبنية على تحقيق الأهداف الإستراتيجية والتنظيمية والإدارية للمنظمة).

    د) تحديد المخاطر.

    · تحديد الأصول وأصحابها

    مدخلات المعلومات؛

    إخراج المعلومات؛

    سجلات المعلومات؛

    الموارد: الأشخاص، البنية التحتية، المعدات، برمجة، الأدوات، الخدمات.

    · تحديد التهديدات (تقترح معايير تقييم المخاطر في كثير من الأحيان فئات من التهديدات التي يمكن استكمالها وتوسيعها).

    · تحديد الثغرات الأمنية (توجد أيضًا قوائم بأكثر الثغرات الأمنية شيوعًا والتي يمكنك الاعتماد عليها عند تحليل مؤسستك).

    تحديد قيمة الأصول ( العواقب المحتملةمن فقدان السرية والنزاهة وتوافر الأصول). يمكن الحصول على معلومات حول قيمة الأصل من مالكه أو من شخص فوضه المالك كل السلطات على الأصل، بما في ذلك ضمان أمنه.

    ه) تقييم المخاطر.

    · تقييم الضرر الذي يمكن أن يلحق بالأعمال التجارية نتيجة فقدان السرية والنزاهة وتوافر الأصول.

    · تقييم احتمالية حدوث التهديدات من خلال نقاط الضعف الحالية، مع مراعاة ضوابط أمن المعلومات الحالية وتقييم الضرر المحتمل الناجم؛

    · تحديد مستوى المخاطرة.

    تطبيق معايير قبول المخاطر (مقبول / يتطلب العلاج).

    و) معالجة المخاطر (وفقاً لاستراتيجية إدارة المخاطر المختارة).

    الإجراءات المحتملة:

    الإجراءات السلبية:

    قبول المخاطر (قرار بشأن قبول مستوى المخاطر الناتج)؛

    تجنب المخاطر (قرار تغيير الأنشطة التي تسبب مستوى معينًا من المخاطر - نقل خادم الويب خارج الحدود شبكه محليه);

    الإجراءات النشطة:

    الحد من المخاطر (باستخدام التدابير المضادة التنظيمية والتقنية)؛

    نقل المخاطر (التأمين (الحريق، السرقة، الأخطاء البرمجية)).

    يعتمد اختيار الإجراءات المحتملة على معايير المخاطر المقبولة (يتم تحديد مستوى مقبول من المخاطر، ومستويات المخاطر التي يمكن تقليلها عن طريق ضوابط أمن المعلومات، ومستويات المخاطر التي يوصى عندها بالتخلي عن نوع النشاط الذي يسببه أو تحويله، والمخاطر التي يستحسن نقلها إلى أطراف أخرى).

    ز) اختيار الأهداف والضوابط لمعالجة المخاطر.

    يجب أن تنفذ الأهداف والضوابط استراتيجية إدارة المخاطر، وتراعي معايير قبول المخاطر والمتطلبات التشريعية والتنظيمية وغيرها.

    يوفر معيار ISO 27001-2005 قائمة بالأهداف والضوابط كأساس لبناء خطة معالجة المخاطر (متطلبات ISMS).

    تحتوي خطة معالجة المخاطر على قائمة بالإجراءات ذات الأولوية لتقليل مستويات المخاطر، مع الإشارة إلى:

    · الأشخاص المسؤولون عن تنفيذ هذه الأنشطة والوسائل.

    · توقيت تنفيذ الأنشطة وأولويات تنفيذها.

    · الموارد اللازمة لتنفيذ مثل هذه الأنشطة.

    · مستويات المخاطر المتبقية بعد تطبيق التدابير والضوابط.

    يتم اعتماد خطة معالجة المخاطر ومراقبة تنفيذها من قبل الإدارة العليا للمنظمة. يعد استكمال الأنشطة الرئيسية للخطة معيارًا لاتخاذ قرار بشأن تشغيل نظام إدارة أمن المعلومات (ISMS).

    في هذه المرحلة، يكون اختيار التدابير المضادة المختلفة لأمن المعلومات مبررًا، ومنظمًا وفقًا للمستويات التنظيمية والتنظيمية والإدارية والتكنولوجية ومستويات الأجهزة والبرمجيات لأمن المعلومات. (علاوة على ذلك، يتم تنفيذ مجموعة من الإجراءات المضادة وفقًا لاستراتيجية إدارة مخاطر المعلومات المختارة). في النسخة الكاملة من تحليل المخاطر، يتم أيضًا تقييم فعالية التدابير المضادة لكل خطر.

    ح) موافقة الإدارة على المخاطر المتبقية المقترحة.

    ط) الحصول على موافقة الإدارة لتنفيذ وتشغيل نظام إدارة أمن المعلومات (ISMS).

    ي) بيان التطبيق (وفقًا للمواصفة ISO 27001-2005).

    إن تاريخ وضع نظام إدارة أمن المعلومات (ISMS) موضع التنفيذ هو تاريخ موافقة الإدارة العليا للشركة على اللائحة المتعلقة بقابلية تطبيق الضوابط، والتي توضح الأهداف والوسائل التي اختارتها المنظمة لإدارة المخاطر:

    · أدوات الإدارة والمراقبة المختارة في مرحلة معالجة المخاطر.

    · أدوات الإدارة والرقابة الموجودة بالفعل في المنظمة.

    · وسائل ضمان الامتثال للمتطلبات القانونية ومتطلبات المنظمات التنظيمية.

    · وسائل ضمان تلبية متطلبات العملاء.

    · وسائل ضمان الامتثال للمتطلبات العامة للشركة.

    · أي ضوابط وضوابط أخرى مناسبة.

    المرحلة 2. تنفيذ وتشغيل ISMS.

    لتنفيذ وتشغيل سياسة وضوابط وعمليات وإجراءات أمن المعلومات في مجال أمن المعلومات، يتم تنفيذ الإجراءات التالية:

    أ) تطوير خطة معالجة المخاطر (وصف الضوابط المخططة والموارد (البرمجيات والأجهزة والموظفين) اللازمة لتنفيذها ودعمها ومراقبتها ومسؤوليات الإدارة لإدارة مخاطر أمن المعلومات (تطوير الوثائق في مرحلة التخطيط، ودعم أهداف أمن المعلومات، تحديد الأدوار والمسؤوليات، ضمان الموارد اللازمةلإنشاء ISMS والتدقيق والتحليل).

    ب) تخصيص التمويل والأدوار والمسؤوليات لتنفيذ خطة معالجة المخاطر.

    ج) تنفيذ الضوابط المخطط لها.

    د) تحديد مؤشرات أداء الرقابة (المقاييس) وطرق قياسها والتي من شأنها أن توفر نتائج قابلة للمقارنة وقابلة للتكرار.

    هـ) تحسين مؤهلات ووعي العاملين في مجال أمن المعلومات بما يتوافق مع مسؤولياتهم الوظيفية.

    و) إدارة تشغيل نظام إدارة أمن المعلومات (ISMS)، وإدارة الموارد لصيانة نظام إدارة أمن المعلومات (ISMS) ومراقبته وتحسينه.

    ز) تنفيذ الإجراءات والضوابط الأخرى للكشف السريع عن حوادث أمن المعلومات والاستجابة لها.

    المرحلة 3. المراقبة والتحليل المستمر لعمل نظام إدارة أمن المعلومات (ISMS).

    تتضمن المرحلة تقييم أو قياس مؤشرات أداء العملية الرئيسية وتحليل النتائج وتقديم تقارير إلى الإدارة لتحليلها وتشمل:

    أ) إجراء المراقبة والتحليل المستمر (يسمح لك بالكشف بسرعة عن الأخطاء في عمل نظام إدارة أمن المعلومات (ISMS)، وتحديد الحوادث الأمنية والاستجابة لها بسرعة، والتمييز بين أدوار الموظفين و الأنظمة الآليةفي ISMS، منع الحوادث الأمنية من خلال التحليل سلوك غير عادي، تحديد مدى فعالية التعامل مع الحوادث الأمنية).

    ب) إجراء مراجعات منتظمة لفعالية نظام إدارة أمن المعلومات (الامتثال لسياسات وأهداف نظام إدارة أمن المعلومات، وعمليات التدقيق، المؤشرات الرئيسيةالفعالية والاقتراحات وردود فعل أصحاب المصلحة).

    ج) قياس فعالية الضوابط للتحقق من استيفاء متطلبات الحماية

    د) إعادة تقييم المخاطر بشكل دوري، وتحليل المخاطر المتبقية وتحديد مستويات المخاطر المقبولة لأي تغييرات في المنظمة (أهداف وعمليات العمل، والتهديدات المحددة، ونقاط الضعف التي تم تحديدها حديثا، وما إلى ذلك)

    هـ) إجراء عمليات التدقيق الداخلي بشكل دوري لنظام إدارة أمن المعلومات (ISMS).

    تدقيق ISMS – التحقق من امتثال التدابير المضادة المختارة لأهداف وغايات العمل المعلنة في سياسة السلامة الصناعية للمنظمة، بناءً على نتائجها، ويتم تقييم المخاطر المتبقية، وإذا لزم الأمر، يتم تحسينها.

    و) المراجعة المنتظمة لنطاق واتجاهات نظام إدارة أمن المعلومات (ISMS) من قبل الإدارة.

    ز) تحديث خطط إدارة المخاطر لتعكس نتائج الضوابط والتحليل.

    ح) الاحتفاظ بسجلات الأحداث التي كان لها تأثير التأثير السلبيعلى فعالية أو جودة عمل ISMS.

    المرحلة 4. دعم وتحسين ISMS.

    واستنادا إلى نتائج التدقيق الداخلي والتحليل الإداري لنظام إدارة أمن المعلومات (ISMS)، يتم تطوير وتنفيذ الإجراءات التصحيحية والوقائية التي تستهدف تحسن مستمرنظام إدارة أمن المعلومات:

    أ) تحسين سياسة أمن المعلومات وأهداف حماية المعلومات وإجراء عمليات التدقيق وتحليل الأحداث التي تمت ملاحظتها.

    ب) تطوير وتنفيذ الإجراءات التصحيحية والوقائية للقضاء على عدم الامتثال لمتطلبات نظام إدارة أمن المعلومات.

    ج) رصد التحسينات ISMS.

    خاتمة

    يصف ISO 27001 نموذجًا عامًا لتنفيذ وتشغيل نظام إدارة أمن المعلومات (ISMS)، بالإضافة إلى أنشطة مراقبة وتحسين نظام إدارة أمن المعلومات (ISMS). وتعتزم المنظمة الدولية للمعايير (ISO) مواءمة معايير أنظمة الإدارة المختلفة، مثل ISO/IEC 9001:2000، التي تتناول إدارة الجودة، وISO/IEC 14001:2004، التي تتناول أنظمة الإدارة البيئية. الغرض من ISO هو ضمان اتساق وتكامل نظام إدارة المعلومات (ISMS) مع أنظمة الإدارة الأخرى في الشركة. ويتيح تشابه المعايير استخدام أدوات ووظائف مماثلة للتنفيذ والإدارة والمراجعة والتحقق وإصدار الشهادات. من المفهوم أنه إذا قامت الشركة بتنفيذ معايير إدارية أخرى، فيمكنها استخدام نظام تدقيق وإدارة واحد ينطبق على إدارة الجودة والإدارة البيئية وإدارة السلامة وما إلى ذلك. ومن خلال تطبيق نظام إدارة أمن المعلومات (ISMS)، تمتلك الإدارة العليا الوسائل اللازمة لمراقبة وإدارة الأمن، مما يقلل من مخاطر الأعمال المتبقية. بمجرد تنفيذ نظام إدارة أمن المعلومات (ISMS)، يمكن للشركة ضمان أمن المعلومات رسميًا والاستمرار في تلبية متطلبات العملاء والتشريعات والمنظمين والمساهمين.

    ومن الجدير بالذكر أنه يوجد في تشريعات الاتحاد الروسي وثيقة GOST R ISO/IEC 27001-2006، وهي نسخة مترجمة من المعيار الدولي ISO27001.

    فهرس

    1. كورنييف آي آر، بيلييف أ.ف. أمن معلومات المؤسسة. – سانت بطرسبرغ: BHV-بطرسبرغ، 2003. – 752 ص.

    2. الدولية معيار الأيزو 27001

    (http://www.specon.ru/files/ISO27001.pdf) (تاريخ الوصول: 23/05/12).

    3. المعيار الوطني الاتحاد الروسي GOST R ISO/IEC 27003 - "تقنيات المعلومات. طرق الأمان. إرشادات لتنفيذ نظام إدارة أمن المعلومات

    (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (تاريخ الوصول: 23/05/12).

    4. سكيبا ف.يو.، كورباتوف ف.أ. دليل للحماية من التهديدات الداخلية لأمن المعلومات. سانت بطرسبرغ: بيتر، 2008. - 320 ص.

    يعد نظام إدارة أمن المعلومات جزءًا من نظام الإدارة الشامل، والذي يعتمد على استخدام أساليب تقييم مخاطر الأعمال لتطوير وتنفيذ وتشغيل ومراقبة وتحليل ودعم وتحسين أمن المعلومات.

    نظام الإدارة يشمل الهيكل التنظيمي، السياسات، أنشطة التخطيط، توزيع المسؤوليات، الأنشطة العمليةوالإجراءات والعمليات والموارد [GOST R ISO/IEC 27001-2006]

    يحدد معيار ISO 27001 متطلبات نظام إدارة أمن المعلومات (ISMS). متطلبات المعيار مجردة إلى حد ما ولا ترتبط بتفاصيل أي مجال من مجالات أنشطة الشركة.

    أدى تطور أنظمة المعلومات في أوائل التسعينيات إلى الحاجة إلى إنشاء معيار لإدارة الأمن. بناءً على طلب الحكومة والصناعة البريطانية، قامت وزارة التجارة والصناعة البريطانية بتطوير ممارسة ISMS.

    لقد قطع معيار BS 7799 الأولي شوطا طويلا، مع سلسلة من الاختبارات والتعديلات. كانت المرحلة الأكثر أهمية في "حياته المهنية" هي عام 2005، عندما تم الاعتراف بمعيار تقييم نظام إدارة أمن المعلومات (ISMS) دوليًا (أي تم تأكيد اتساق متطلباته لنظام إدارة أمن المعلومات الحديث). منذ تلك اللحظة، بدأت الشركات الرائدة في جميع أنحاء العالم في تنفيذ معيار ISO 27001 بنشاط والتحضير للحصول على الشهادات.

    هيكل ISMS

    نظام إدارة أمن المعلومات (ISMS) الحديث هو نظام إدارة موجه نحو العمليات، بما في ذلك المكونات التنظيمية والوثائقية والأجهزة والبرامج. يمكن التمييز بين "وجهات النظر" التالية حول نظام إدارة أمن المعلومات: العملية والوثائقية والنضج.

    يتم إنشاء عمليات نظام إدارة أمن المعلومات (ISMS) وفقًا لمتطلبات معيار ISO/IEC 27001:2005، والذي يعتمد على دورة إدارة التخطيط والتنفيذ والتحقق والتنفيذ. ووفقاً لذلك، تتكون دورة حياة نظام إدارة أمن المعلومات (ISMS) من أربعة أنواع من الأنشطة: الإنشاء - التنفيذ والتشغيل - المراقبة والتحليل - الصيانة والتحسين. تضمن عمليات ISMS الموثقة استيفاء جميع متطلبات معيار 27001.

    تتكون وثائق ISMS من السياسات والإجراءات الموثقة والمعايير والسجلات وتنقسم إلى قسمين: وثائق إدارة ISMS والوثائق التشغيلية ISMS.

    يحدد النموذج الناضج لنظام إدارة أمن المعلومات (ISMS) تفاصيل الوثائق التي يتم تطويرها ودرجة أتمتة عمليات إدارة وتشغيل نظام إدارة أمن المعلومات (ISMS). يتم استخدام نموذج النضج CobiT في التقييم والتخطيط. يوفر برنامج تحسين نضج ISMS تكوين وتوقيت الأنشطة لتحسين عمليات إدارة أمن المعلومات وإدارة تشغيل أدوات أمن المعلومات

    يقترح المعيار تطبيق نموذج PDCA (التخطيط والتنفيذ والتحقق والتصرف) على دورة الحياة ISMS، والذي يتضمن التطوير والتنفيذ والتشغيل والتحكم والتحليل والدعم والتحسين (الشكل 1).

    الخطة - مرحلة إنشاء نظام إدارة أمن المعلومات (ISMS)، وإنشاء قائمة بالأصول، وتقييم المخاطر واختيار التدابير؛

    افعل (الإجراء) - مرحلة التنفيذ وتنفيذ التدابير المناسبة؛

    الفحص - مرحلة تقييم فعالية وأداء نظام إدارة أمن المعلومات (ISMS). يتم تنفيذها عادة من قبل المدققين الداخليين.

    القانون - اتخاذ الإجراءات الوقائية والتصحيحية.

    تتكون عملية إنشاء ISMS من 4 مراحل:

    عملية تخطيط تهدف إلى تحديد وتحليل وتصميم طرق التعامل مع مخاطر أمن المعلومات. عند إنشاء هذه العملية، يجب عليك تطوير منهجية لتصنيف أصول المعلومات وتقييم المخاطر رسميًا بناءً على البيانات ذات الصلة بالموضوع. البنية التحتية للمعلوماتالتهديدات ونقاط الضعف. عندما يتعلق الأمر بتدقيق PCI DSS، هناك نوعان من أصول المعلومات القيمة التي لها مستويات مختلفة من الأهمية: بيانات حامل البطاقة وبيانات المصادقة الهامة.

    عملية تنفيذ أساليب معالجة المخاطر المخطط لها، والتي تصف الإجراء الخاص بإطلاق عملية جديدة لأمن المعلومات أو ترقية عملية موجودة. وينبغي إيلاء اهتمام خاص لوصف الأدوار والمسؤوليات والتخطيط للتنفيذ.

    عملية مراقبة أداء عمليات ISMS (تجدر الإشارة إلى أن كلاً من عمليات ISMS ونظام ISMS نفسه يخضعان لمراقبة الأداء - بعد كل شيء، فإن عمليات الإدارة الأربع ليست منحوتات من الجرانيت، وينطبق عليها تحقيق الذات).

    عملية تحسين عمليات نظام إدارة أمن المعلومات (ISMS) وفقًا لنتائج المراقبة، مما يجعل من الممكن تنفيذ الإجراءات التصحيحية والوقائية.

    غوست آر آيزو/آي إي سي 27001-2006 " تكنولوجيا المعلومات. طرق ووسائل ضمان الأمن. نظم إدارة أمن المعلومات. متطلبات"

    يشير مطورو المعيار إلى أنه تم إعداده كنموذج لتطوير وتنفيذ وتشغيل ومراقبة وتحليل ودعم وتحسين نظام إدارة أمن المعلومات (ISMS). يتم تعريف ISMS (الإنجليزية - نظام إدارة أمن المعلومات؛ ISMS) على أنه جزء من نظام الإدارة الشامل، بناءً على استخدام أساليب تقييم مخاطر الأعمال لتطوير وتنفيذ وتشغيل ومراقبة وتحليل ودعم وتحسين أمن المعلومات. يتضمن نظام الإدارة الهيكل التنظيمي والسياسات وأنشطة التخطيط والمسؤوليات والممارسات والإجراءات والعمليات والموارد.

    يفترض المعيار استخدام نهج العملية لتطوير وتنفيذ وتشغيل ورصد وتحليل ودعم وتحسين نظام إدارة أمن المعلومات (ISMS) الخاص بالمنظمة. وهو يعتمد على نموذج الخطة - التنفيذ - التحقق - التصرف (PDCA)، والذي يمكن تطبيقه في هيكلة جميع عمليات ISMS. في التين. يوضح الشكل 4.4 كيف يقوم نظام إدارة أمن المعلومات، باستخدام متطلبات أمن المعلومات وتوقعات أصحاب المصلحة كمدخلات، بإنتاج مخرجات أمن المعلومات التي تلبي تلك المتطلبات والنتائج المتوقعة من خلال الأنشطة والعمليات المطلوبة.

    أرز. 4.4.

    في هذه المرحلة "تطوير نظام إدارة أمن المعلومات"يجب على المنظمة القيام بما يلي:

    • - تحديد نطاق وحدود نظام إدارة أمن المعلومات (ISMS)؛
    • - تحديد سياسة ISMS بناءً على خصائص الأعمال والمنظمة وموقعها وأصولها وتقنياتها؛
    • - تحديد أسلوب تقييم المخاطر في المنظمة؛
    • - تحديد المخاطر؛
    • - تحليل وتقييم المخاطر؛
    • - تحديد وتقييم الخيارات المختلفة لمعالجة المخاطر؛
    • - تحديد الأهداف وإجراءات الرقابة لمعالجة المخاطر؛
    • - الحصول على موافقة الإدارة على المخاطر المتبقية المتوقعة؛
    • - الحصول على إذن الإدارة لتنفيذ وتشغيل نظام إدارة أمن المعلومات (ISMS)؛
    • - إعداد بيان التطبيق.

    منصة " "تنفيذ وتشغيل نظام إدارة أمن المعلومات"يقترح أن المنظمة يجب أن:

    • - وضع خطة لمعالجة المخاطر تحدد الإجراءات الإدارية والموارد والمسؤوليات والأولويات المناسبة فيما يتعلق بإدارة مخاطر أمن المعلومات؛
    • - تنفيذ خطة معالجة المخاطر لتحقيق أهداف الإدارة المقصودة، بما في ذلك قضايا التمويل، فضلا عن توزيع المهام والمسؤوليات؛
    • - تنفيذ تدابير إدارية مختارة؛
    • - تحديد كيفية قياس فعالية تدابير الإدارة المختارة؛
    • - تنفيذ برامج التدريب والتطوير المهني للموظفين؛
    • - إدارة عمل ISMS؛
    • - إدارة موارد ISMS؛
    • - تنفيذ الإجراءات والتدابير الإدارية الأخرى لضمان الكشف السريع عن أحداث أمن المعلومات والاستجابة للحوادث المتعلقة بأمن المعلومات.

    المرحلة الثالثة " "إجراء المراقبة والتحليل لنظام إدارة أمن المعلومات"يتطلب:

    • - تنفيذ إجراءات المراقبة والتحليل؛
    • - إجراء تحليل منتظم لفعالية نظام إدارة أمن المعلومات (ISMS)؛
    • - قياس فعالية تدابير الرقابة للتحقق من الامتثال لمتطلبات أمن المعلومات؛
    • - مراجعة تقييمات المخاطر في فترات زمنية محددة، وتحليل المخاطر المتبقية وتحديد مستويات المخاطر المقبولة، مع مراعاة التغييرات؛
    • - إجراء عمليات تدقيق داخلية لنظام إدارة أمن المعلومات (ISMS) في فترات زمنية محددة؛
    • - إجراء تحليل ISMS بانتظام من قبل إدارة المنظمة من أجل تأكيد مدى كفاية نظام الأداء وتحديد مجالات التحسين؛
    • - تحديث خطط أمن المعلومات مع مراعاة نتائج التحليل والمراقبة.
    • - تسجيل الإجراءات والأحداث التي قد تؤثر على فعالية أو عمل نظام إدارة أمن المعلومات (ISMS).

    وأخيرا المسرح "دعم وتحسين نظام إدارة أمن المعلومات"يقترح أن تقوم المنظمة بانتظام بالأنشطة التالية:

    • - تحديد الفرص المتاحة لتحسين نظام إدارة أمن المعلومات (ISMS)؛
    • - اتخاذ الإجراءات التصحيحية والوقائية اللازمة، والاستخدام العملي للخبرة المكتسبة في مجال أمن المعلومات المنظمة الخاصةوفي منظمات أخرى؛
    • - إرسال معلومات مفصلةحول الإجراءات اللازمة لتحسين نظام إدارة أمن المعلومات (ISMS) لجميع الأطراف المعنية، في حين يجب أن تتوافق درجة التفاصيل مع الظروف، وإذا لزم الأمر، الاتفاق على المزيد من الإجراءات؛
    • - ضمان تنفيذ تحسينات ISMS لتحقيق الأهداف المخطط لها.

    علاوة على ذلك، يوفر المعيار متطلبات التوثيق، والتي يجب أن تتضمن أحكام سياسة نظام إدارة أمن المعلومات ووصف نطاق التشغيل، ووصف المنهجية وتقرير تقييم المخاطر، وخطة معالجة المخاطر، وتوثيق الإجراءات ذات الصلة. وينبغي أيضًا تحديد عملية إدارة مستندات ISMS، بما في ذلك التحديث والاستخدام والتخزين والتدمير.

    لتقديم دليل على الامتثال للمتطلبات وفعالية نظام إدارة أمن المعلومات (ISMS)، من الضروري الاحتفاظ بسجلات لتنفيذ العمليات والاحتفاظ بها. تشمل الأمثلة سجلات الزوار وتقارير التدقيق وما إلى ذلك.

    ويحدد المعيار أن إدارة المنظمة مسؤولة عن توفير وإدارة الموارد اللازمة لإنشاء نظام إدارة أمن المعلومات (ISMS)، فضلاً عن تنظيم تدريب الموظفين.

    كما ذكرنا سابقًا، يجب على المنظمة، وفقًا للجدول الزمني المعتمد، إجراء عمليات تدقيق داخلية لنظام إدارة أمن المعلومات (ISMS) لتقييم وظائفها وامتثالها للمعيار. ويجب على الإدارة إجراء تحليل لنظام إدارة أمن المعلومات.

    وينبغي أيضًا العمل على تحسين نظام إدارة أمن المعلومات: زيادة فعاليته ومستوى امتثاله الوضع الحاليالنظام ومتطلباته.