نظام ادارة امن المعلومات “ Information Security Management System“
عادةً يتم إرفاق مصطلح نظام إدارة المعلومات مع مصطلح تكنولوجيا المعلومات. إلا أنه من الواجب التوضيح أن ISMS يختص بشكل رئيسي في حماية المعلومات من السرقة، التصيد الاحتيالي، ومن التنصل والبرمجيات الخبيثة. وكل ما يمكن أن يمس بنظام أمني معين خاص بهيئة معينة. وفي رحلة تعريفية عن نظام إدارة أمن المعلومات ISM كتبنا هذه المقالة لتكون مرجع شامل للقارئ حول هذا المفهوم.
تعريف نظام إدارة المعلومات ISMS
يمكن تعريف نظام إدارة المعلومات على أنه مجموعة السياسات والعمليات والأدوات اللازمة للحفاظ على أمن المعلومات في المؤسسات والحكومات والهيئات.
كما يهدف ISMS إلى توفير مستوى مناسب من أمن المعلومات وسريتها داخل المنظمات. وذلك من خلال تحديد مهددات الأمن ونقاط الضعف في المنظومة الأمنية. حيث يتم استخدام مجموعة من العمليات وتنفيذ تدابير تقنية والتحكم فيها لتحقيق هذه الغاية.
أهداف نظام إدارة أمن المعلومات ISMS (ISMS The goals of information security management system | ISMS goals)
تعد الأهداف الأساسية لنظام حماية أمن المعلومات:
- السرية:
من الضروري تأمين سرية المعلومات. وبالتالي ألا يتم الوصول إليها إلا من قبل المخولين بذلك.
ويتم اختراق السرية عندما يتم الاطلاع على المعلومات من أشخاص ليس لهم حق الاطلاع عليها (كعمليات التنصت على الاتصالات على سبيل المثال).
ومن أهم وسائل ضمان سرية المعلومات هي استخدام الزوج (اسم المستخدم، وكلمة المرور).
- النزاهة وتكامل البيانات:
من الضروري أيضاَ حماية البيانات من التغيير والتعديل المخرب. وذلك لأن تعديل المعلومات الخاصة بنظام قد يؤدي إلى تخريب النظام بالكامل (كأن يقوم مهاجم بتغيير البيانات المرسلة إلى جهاز ما فيقوم هذا الجهاز بعملية مغايرة تماماً للعملية التي كان يجب أن يقوم بها في الحالة الطبيعية).
- التوافرية:
والتي تعني أن يوفر النظام الخدمة على الدوام. حيث يعد هجوم حجب الخدمة من أكثر أنواع الهجوم المنتشرة في العالم. بالإضافة إلى ذلك فهو يملك آثار ضارة جداً حيث أنه يسبب توقف النظام عن تقديم الخدمة كبداية. ومن ثم قد يسبب تعطل النظام بالكامل وخروجه عن الخدمة نتيجة لهذا العطل (كهجوم DOos).
حسنات نظام إدارة أمن المعلومات IMSA (Information management system advantages | ISMS advantages)
·حماية البيانات الهامة والحساسة
يعمل IMSA على حماية البيانات من جميع أنواع الانتهاك. حيث أن هذه المعلومات قد تشمل الأصول الخاصة بالشركات أو العقود المالية أو حتى بيانات العملاء. وبالتالي فإن فقد هذه المعلومات سوف يعود بنتائج وخيمة على المؤسسة المعنية. ولذلك تم تصميم ISMS الذي يقدم نهج حماية تام لهذه المعلومات سواء إن كانت ورقية أو بينات حاسوبية، أو محفوظة على السحابة.
·إنشاء قانون موحد لحماية الشركات (الامتثال التنظيمي)
بداية يساعد ISMS على فرض الامتثال للقوانين المفروضة من قبل الجهات الأمنية العالمية المعنية على الجميع شركات أو مؤسسات. وذلك لأن الخلل بالقانون الخاص ب IMSA قد يحمل عواقب وخيمة إضافة إلى ضرائب مالية كبيرة جداً.
·الحفاظ على استمرارية العمل
ومن ثم يعمل ISMS على ضمان استمرارية العمل من خلال تقليل الاختراقات التي تتعرض لها الشركات والمؤسسات. وبالتالي صرف نظر الشركة عن المشكلات الأمنية وإشغالها بالعمل الفعلي على أرض الواقع.
·تعزيز مناعة الشركة للهجمات الأمنية
كما يساعد الفهم الفعلي لمصطلح نظام إدارة أمن المعلومات في مساعدة الشركات على اتخاذ الإجراءات الأمنية المسبقة لتجنب حصول أي اختراق أمني من خلال تقنيات الأمن السيبراني المختلفة. حيث أن تهديدات الأمن هي تقنيات تتطور وتتغير باستمرار وبالتالي من الضروري مواكبة أهم التغييرات في مواجهة هذه التهديدات من خلال ISMS.
·تقليل التكاليف القسرية الناجمة عن التهديدات الأمنية
كما يعمل نظام إدارة أمن المعلومات على حماية المؤسسات من الاختراق وسرقة البيانات وبالتالي فهو يلعب الدور الأكبر في تقليل تكاليف الشركة الناجمة عن حدوث خلل أمني داخلها. بالإضافة إلى ذلك فإن التكاليف اللازمة لتصحيح أخطاء الهجمات الأمنية تفوق بآلاف المرات تكاليف حماية المعلومات باستخدام ISMS، وكنتيجة يعد استخدام نظام ISMS أقل كلفة من تحمل العواقب الناتجة عن الهجمات والاختراقات.
سيئات نظام إدارة أمن المعلومات IMSA (Information management system disadvantages | ISMS disadvantages)
وعلى الرغم من أن ISMS له الكثير من الفوائد إلا أنه قد يكون هناك العديد من العوائق لاستخدامه.
·التكلفة العالية
أولاً، قد يشكل التعامل مع نظام إدارة المعلومات وتثبيته في الشركة تكلفة إضافية يتم فرضها على الشركات. وثانياً تحتاج هذه الأنظمة إلى صيانة وترقية مستمرة. وبالتالي لتجنب هذه المشكلة يجب على المؤسسات أن تدرس ميزانية تثبيت النظام بشكل جيد وأن تأخذ بالحسبان التكاليف الإضافية الخاصة بعملية التحديث والصيانة والتي سوف يتم دفعها مدى الحياة والتي تشكل بالتالي تكاليف ثابتة سنوية أو شهرية.
·الحاجة المستمرة إلى الصيانة
والتي لا تقتصر على عمليات صيانة متباعدة المدى فحسب. وذلك لأن تثبيت نظام ISMS يحتاج وجود عاملي صيانة يتم توظيفهم في الشركة بشكل دائم. كما يحتاج هؤلاء العمال أولاً إلى امتلاك خبرة سنوات في المجال. ثانياً، سوف يحتاج هؤلاء الأشخاص إلى دورات تدريبية مستمرة للتوعية بكل جديد في مجال ISMS في ظل التطورات السريعة للتكنولوجيا في عصرنا الحالي. وبالتالي يفرض هذا الأمر تكلفة إضافية أيضاَ.
·نظام إدارة أمن المعلومات غير فعال في كل الأماكن
قد يكون النظام غير فعال في بعض الأماكن. أو قليل الفعالية ولأنه نظام يستطيع القيام بمجال محدد من الإجراءات المطلوبة منه. ولذلك يجب على الشركات أن توظف أشخاص قادرين على تطوير هذه الأنظمة واستخدامها بما يناسب متطلبات الشركة بحيث تكون ذات فعالية في المكان الذي تثبت فيه.
ضوابط أمان ISMS (ISMS security controls).
وفقاً لمعيار ISO 27001 العالمي لنظام إدارة المعلومات. تم تعيين ضوابط أمان نظام إدارة أمن المعلومات في مختلف المجالات التي يشملها كالآتي:
- أولاً وضع سياسة مناسبة لأمن المعلومات. وذلك وفق احتياجات المؤسسة.
- ومن ثم تنظيم أمن المعلومات بهدف الحماية الوقائية ضد تهديدات الأمن كالاختراق، وفقدان البيانات، وأعطال النظام على سبيل المثال.
- وبعد ذلك يأتي إدارة الأصول وضمان عدم التنصل للأصل. وذلك عندما يتعلق الموضوع بتبادل المعلومات الحساسة كعقد الصفقات الالكترونية بين المؤسسات على سبيل المثال.
- ومن المهم إدارة أمن الموارد البشرية. للتقليل من مخاطر تهديدات الأمن الداخلية التي تنتج عن الموظفين والعاملين داخل المؤسسة.
- الأمن المادي الذي يساعد في الحفاظ على الأجهزة. والأمن البيئي الذي يضمن أمن المعلومات عند الاحتفاظ بها خارج نطاق الشركة. كحفظ المعلومات على السحابة.
- توفير أمن الاتصالات.
- تحديد صلاحيات الدخول. وذلك عبر تحديد مستوى أمن خاص بكل مستخدم. وبالتالي تحديد مستوى من المعلومات يستطيع الوصول إليه كل مستخدم بحسب موقعه ومرتبته في الشركة. وبذلك يتم الحماية من الوصول غير المصرح به من قبل غير المخول لهم بذلك.
- الصيانة المستمرة لنظم إدارة المعلومات.
- إدارة الحوادث المحتملة. وذلك من خلال تقليل تأثير التهديدات الأمنية على المستخدمين النهائيين أو العملاء.
- تأمين الاستمرارية في العمل من خلال تجنب حصول حوادث أمنية.
- توفير قوانين أمنية للامتثال لها، وبالتالي ضمان الحقوق.
- إدارة عمليات التشفير التي تستخدم لحماية المعلومات.
- إدارة سياسات الأمن التي يتم فرضها على الموردين.
أفضل ممارسات ما قبل استخدام نظام إدارة أمن المعلومات ISMS (Best practices before using an information security management system)
- أولا وضع سياسة خاصة بأمن المعلومات في الشركة قبل تنفيذ ISMA وذلك لأن لكل شركة مهددات أمن مختلفة وضوابط أمنية متنوعة.
- ومن ثم يجب فهم احتياجات العمل. والذي يتضمن التحليل الكامل للعمليات والأدوات المستخدمة في نظام ISMS. وبالتالي معرفة تأثير النظام على الأفراد والشركات.
- وبعد ذلك، من الضروري مراقبة سياسات التحكم بالمعلومات وبالتالي تحديد وصولية كل فرد إلى البيانات بحد معين بحسب مرتبته داخل الشركة.
- تطبيق عمليات التدقيق الداخلي للأمن قبل تنفيذ ISMS.
- إجراء تدريب للموظفين بهدف نشر التوعية الأمنية في الشركة وبالتالي دعم الأمن داخل محيط الشركة والذي يمثله الكادر البشري.
- كما يجب كذلك اتخاذ التدابير الأمنية المتعلقة بحماية الأجهزة المادية.
- بالإضافة إلى أنه من الضروري تطبيق تقنيات التشفير لضمان سرية المعلومات.
- أخيراً يجب القيام بعميلات النسخ الاحتياطي للبيانات وذلك لتجنب فقدان البيانات خلال تثبيت ISMS.
الفرق بين تكنولوجيا المعلومات ونظام إدارة أمن المعلومات (information technology VS information security management system)
أولاً الفرق الأساسي بين المصطلحين هو أن ISMS يتجاوز التكنولوجيا المستخدمة فيما يخص المعلومات ليصل إلى القضايا المتعلقة بتنظيم هذه المعلومات أمنياً (كالمسؤوليات والعواقب المفروضة على تجاوز أمن هذه المعلومات على سبيل المثال). بالإضافة إلى تحقيق غايات أمن المعلومات كالموثوقية والتكاملية والمصادقة.
ولذلك يعتبر ISMS آلية ضرورية، وبالتالي يجب أن تكون موجودة في كل قسم داخل الهيئة التي تتبنى هذه التقنية.
عزيزي القارئ، في حال أعجبتك المقالة لا تنسى الاشتراك بقناتنا على يوتيوب التي توفر كل جديد في مجال الدورات التدريبية التقنية والمجانية بشكل كامل.
كذلك يمكنك تصفح الموقع الخاص بنا للوصول إلى المدونة وقراءة المزيد من المواضيع التقنية، أو التعرف على الدورات التدريبية التي يتيحها الموقع.