Professional Documents
Culture Documents
كيف تحصل على شهادة Iso Iec 27001 في أمن المعلومات؟
كيف تحصل على شهادة Iso Iec 27001 في أمن المعلومات؟
كيف تحصل على شهادة Iso Iec 27001 في أمن المعلومات؟
أيزو IEC 27001هو معيار يوفر إرشادات حول كيفية إدارة المنظمة لمخاطر أمن المعلومات. .1
يحدد المعيار متطلبات إنشاء نظام ISMSوتنفيذه وصيانته وتحسينه باستمرار. .2
يغطي المعيار جميع جوانب أمن المعلومات ،من األمن المادي إلى أمن الموظفين ،من أمن تكنولوجيا المعلومات إلى التخطيط .3
الستمرارية األعمال.
عملية االعتماد صارمة وتتطلب من المنظمات Tإثبات أنها نفذت ضوابط فعالة للتخفيف من أي مخاطر محددة. .4
تشتمل عملية االعتماد على تقييم ISMSالخاص بالمنظمة من قبل هيئة منح شهادات خارجية. .5
ستصدر هيئة إصدار الشهادات شهادة امتثال بمجرد اكتمال التقييم واستيفاء جميع المتطلبات. .6
شهادة ISO / IEC 27001صالحة لمدة ثالث سنوات ويجب الحفاظ عليها طوال عمر الشهادة. .7
سياسة أمن المعلومات :هل لديك سياسة أمن معلومات Tشاملة مطبقة؟ .1
الحوكمة وإدارة المخاطر :هل لديك نظام للحوكمة وإدارة المخاطر يفي بمتطلبات ISO / IEC 27001؟ .2
إدارة األصول :هل جميع أصولك الرقمية والمادية تتم إدارتها وحمايتها بشكل صحيح؟ .3
عناصر التحكم في األمان :هل تفي ضوابط األمان بمتطلبات ISO / IEC 27001؟ .4
المراقبة واالختبار :هل تخضع أنظمتك للمراقبة واالختبار بانتظام للتأكد من توافقها مع ISO / IEC 27001؟ .5
التوثيق :هل قمت بتوثيق جميع عملياتك وإجراءاتك وسياساتك وف ًقا لمعيار ISO / IEC 27001؟ .6
تدريب الموظفين :هل تم تدريب جميع موظفيك بشكل صحيح على ممارسات أمن المعلومات؟ .7
من خالل تقييم هذه العوامل ،يمكنك تحديد ما إذا كانت مؤسستك جاهزة للحصول على شهادة األيزو 27001
تطوير إطار عمل شامل لـ : ISMS يجب أن يتضمن اإلطار سياسات وإجراءات وضوابط تتماشى مع معيار أيزو .27001 .1
شخصا لديه خبرة في إدارة أمن المعلومات داخل المنظمة.ً تعيين مدير ISMSرفيع المستوى :يجب أن يكون .2
إجراء تقييم للمخاطر :تحديد المخاطر المرتبطة بأصول المعلومات Tوتحديد أولويات تلك المخاطر بنا ًء على تأثيرها المحتمل. .3
تحديد وتوثيق الضوابط الالزمة :تحديد التدابير الالزمة لحماية بيانات مؤسستك ،مثل التحكم في الوصول والتشفير والنسخ .4
االحتياطي للبيانات.
تطوير برنامج تدريبي لجميع الموظفين :قم بتثقيف موظفيك حول أهمية أمن المعلومات وتأكد من فهم الجميع لدورهم في .5
حماية البيانات.
تنفيذ خطة االستجابة للحوادث :ضع إجراءات لالستجابة بسرعة ألي حوادث أمنية وتقليل تأثيرها على عمليات عملك. .6
وضع إجراءات لرصد واختبار نظام إدارة أمن المعلومات :راقب النظام بانتظام للتأكد من أنه يعمل بشكل صحيح وقم .7
بمراجعته بشكل دوري لتحديد أي مجاالت محتملة للتحسين.
حدد المجاالت التي يحتاج نظام إدارة أمن المعلومات الخاص بك إلى تحسين فيها. .1
وضع خطة عمل لمعالجة أي ثغرات أو نقاط ضعف في ISMSالموجودة لديك. .2
تدريب موظفيك على أفضل الممارسات إلدارة أمن المعلومات (.)ISMS .3
قم بمراجعة وتحديث السياسات واإلجراءات والمستندات الموجودة لديك للتأكد من توافقها مع معايير .ISO / IEC 27001 .4
تنفيذ الضوابط الالزمة حول التحكم في الوصول ،والفصل بين الواجبات وإدارة التغيير. .5
إنشاء نظام للتدقيق الداخلي لضمان االمتثال للمعيار. .6
قم بانتظام بمراجعة وتحديث إجراءات األمان الخاصة بك للتأكد من أنها تظل فعالة ومتوافقة مع المعيار. .7
العمل عن كثب مع هيئة إصدار الشهادات الخاصة بك طوال عملية إصدار الشهادات للتأكد من أنك تفي بجميع متطلباتها .8
للحصول على الشهادة.
تحديد أصول المعلومات Tالخاصة بمؤسستك :ابدأ بإنشاء قائمة شاملة لجميع أصول المعلومات الخاصة بمؤسستك. .1
تقييم مستوى مخاطر أصول المعلومات الخاصة بك :بعد تحديد أصول المعلومات ،قم بتقييم مستوى المخاطر لكل أصل. .2
تنفيذ الضوابط المناسبة :بنا ًء على مستوى المخاطر ،اتخذ تدابير لحماية أصول المعلومات الخاصة بك من الوصول أو التعديل .3
غير المصرح به.
مراقبة عمليات إدارة المخاطر والحفاظ عليها :من المهم مراجعة عمليات إدارة المخاطر ومراقبتها بانتظام وإجراء التعديالت .4
الالزمة في حالة حدوث أي تغييرات.
راجع سياساتك وإجراءاتك الحالية :قم بتقييم سياساتك وإجراءاتك الحالية وتأكد من أنها تتماشى مع معايير ISO / IEC .5
.27001
قم بتحديث وتوثيق تقييمات المخاطر الخاصة بك :تأكد من تحديث وتوثيق تقييمات المخاطر الخاصة بك بانتظام إلبقائها مواكبة .6
ألحدث اتجاهات وأنظمة الصناعة.
بمجرد إنشاء الضوابط الالزمة لمؤسستك ،فقد حان الوقت لتطبيق معيار األمان ISO / IEC 27001يتضمن ذلك إعداد ISMS
وإجراء أي تعديالت ضرورية لضمان تلبية جميع المتطلبات .فيما يلي بعض الخطوات لمساعدتك على البدء:
راجع سياساتك وإجراءاتك الحالية في ضوء معيار .ISO / IEC 27001 .1
تطوير وثيقة سياسة أمن المعلومات التي تحدد اإلجراءات األمنية التي ستستخدمها لحماية معلومات مؤسستك. .2
تدريب موظفيك على أهمية أمن المعلومات واإلجراءات التي يتعين عليهم اتباعها لالمتثال للمعيار. .3
استحداث نظام إلدارة ومراقبة مخاطر أمن المعلومات. .4
التأكد من وجود تدابير أمنية للوصول المادي إلى البيانات الحساسة T،وكذلك للوصول عن بعد إلى األنظمة والشبكات. .5
ضع إجراءات للرد على الحوادث األمنية ،مثل خرق البيانات أو الهجوم على أنظمتك. .6
تنفيذ عمليات التشفير لتخزين البيانات ونقلها. .7
إنشاء عملية لمراجعة فعالية ISMSالخاص بك والتأكد من اختباره وتحديثه بانتظام. .8
توثيق :ISMSتوثيق ISMSضروري لضمان أن جميع العمليات تتماشى مع متطلبات .ISO / IEC 27001يتضمن ذلك .1
إنشاء السياسات والعمليات واإلجراءات التي تتماشى مع المعيار.
تحديد حاالت عدم االمتثال :ستحدد هيئة إصدار الشهادات أي حاالت عدم امتثال للمعيار أثناء تدقيقها .يجب على المنظمة بعد .2
ذلك إجراء التعديالت الالزمة لتصحيح حاالت عدم االمتثال هذه.
وضع خطة تدقيق داخلي :يجب على المنظمة تطوير خطة تدقيق داخلي تحدد عدد المرات التي ينبغي فيها إجراء عمليات .3
التدقيق والمجاالت التي تحتاج إلى المراجعة.
إجراء عمليات التدقيق الداخلي :يجب إجراء عمليات التدقيق الداخلي بانتظام للتأكد من أن ISMSال يزال يتوافق مع معيار .4
.ISO / IEC 27001
تقديم طلبات التعديل :بعد إجراء عمليات التدقيق الداخلي ،يجب تقديم أي تعديالت يلزم إجراؤها إلى هيئة إصدار الشهادات .5
للموافقة عليها.
استالم الشهادة :بمجرد الموافقة على جميع التعديالت ،ستصدر هيئة إصدار الشهادات شهادة امتثال للمنظمة ،صالحة لمدة .6
ثالث سنوات.
ال ودقي ًق ا في عملية التقديم .قدم جميع المعلومات الضرورية التي تتطلبها هيئة إصدار الشهادات T،مثل تفاصيل ISMSكن شام ً .1
وخطة تقييم المخاطر وتدابير الرقابة التي تم تنفيذها.
تأكد من أن وثائقك محدثة ودقيقة قبل إرسالها. .2
استعد لعملية التدقيق مقد ًما من خالل التأكد من تدريب موظفيك وفهمهم الكامل لمتطلبات .ISO / IEC 27001: 2013 .3
اجعل جميع الموظفين المعنيين متاحين لإلجابة على أي أسئلة أثناء عملية التدقيق. .4
قم بإجراء أي تعديالت ضرورية أثناء عملية التدقيق للتأكد من استيفاء جميع المتطلبات وأنك قادر على الحصول على شهادتك. .5
باتباع هذه الخطوات ،يمكنك التأكد من أنك ستتمكن من تقديم طلب للحصول على شهادة ISO / IEC 27001بنجاح وإجراء التعديالت
الالزمة للحصول على شهادتك.
مراقبة ISMSالخاص بك :راقب ISMSبانتظام للتأكد من أنه يظل محدثًا ويفي بمتطلبات المعيار. .1
إجراء عمليات التدقيق الداخلي :إجراء عمليات التدقيق الداخلي للتحقق من أن الضوابط المنفذة فعالة وأن األهداف المحددة قد .2
تحققت.
إدارة التغييرات :تأكد من أن أي تغييرات تطرأ على نظام إدارة أمن المعلومات يتم إدارتها وتوثيقها وإبالغها ألصحاب .3
المصلحة المعنيين.
االستعداد لعمليات التدقيق الخارجية :سيتم إجراء تدقيق خارجي كل ثالث سنوات ،لذا يجب االستعداد لذلك مقد ًما عن طريق .4
االحتفاظ بالسجالت وإعداد التقارير.
مراجعة تقييمات Tالمخاطر :يجب مراجعة تقييمات المخاطر بانتظام حتى يمكن تحديد أي تغييرات في المخاطر ومعالجتها في .5
الوقت المناسب.
تدريب الموظفين :تأكد من أن جميع الموظفين على دراية بمسؤولياتهم المتعلقة بأمن المعلومات وأنهم مدربون تدريباً كافياً على .6
أفضل الممارسات Tاألمنية.
نأمل أن يكون هذا الدليل مفي ًد ا في فهم شهادة األيزو في أمن المعلومات .إذا كانت لديك أي أسئلة أو كنت بحاجة إلى مزيد من اإلرشادات،
فإن فريق الخبراء لدينا في جرافيتي لإلستشارات االدارية متواجدون هنا لمساعدتك .اتصل بنا اليوم للحصول على مزيد من المعلومات
والبدء في رحلة الحصول على شهادة األيزو الخاصة بك.