بيت تطوير الذات جميع المعايير البريطانية BS 1842 pdf النشر على الانترنت حول التقنيات العالية

جميع المعايير البريطانية BS 1842 pdf النشر على الانترنت حول التقنيات العالية

إدارة استمرارية الأعمال (BCM) هي عملية إدارة شاملة تحدد التهديدات المحتملة للمؤسسة وتحدد التأثير المحتمل على العمليات التجارية إذا تحققت تلك التهديدات، وتضع الأساس لضمان قدرة المنظمة على التعافي والاستجابة بفعالية للحوادث، وبالتالي ضمان أن يتم خدمة مصالحها أصحاب المصلحة الرئيسيين، والحفاظ على السمعة والعلامة التجارية والأنشطة ذات القيمة المضافة. يتضمن DSA إدارة الاسترداد والاستمرار النشاط الاقتصاديفي حالة تعطل الأعمال، وإدارة برنامج استمرارية الأعمال بشكل عام من خلال التدريب والتمارين والتحليل للحفاظ على تحديث خطة (خطط) استمرارية الأعمال.

BS 25999-1:2006، إدارة استمرارية الأعمال - الجزء الأول: من البديهيات»

يحدد BS 25999-1:2006 العملية والمبادئ والمصطلحات الخاصة بإدارة استمرارية الأعمال، مما يوفر الأساس لفهم وتصميم وتنفيذ نظام استمرارية الأعمال داخل المؤسسة وتوفير الثقة للعملاء والشركاء في موثوقيته. تصف هذه المواصفة القياسية مجموعة شاملة من آليات التحكم وتغطي جميعها دورة الحياةعملية إدارة استمرارية الأعمال. لقد تم تطويره من قبل متخصصين من جميع أنحاء المجتمع العالمي، بناءً على أفضل ممارسات الصناعة، وهو مناسب للمؤسسات من جميع الأنواع والأحجام.

BS 25999-2:2007، "إدارة استمرارية الأعمال - الجزء الثاني: المواصفات"

بينما يحتوي الجزء الأول من المواصفة القياسية (BS 25999-1:2006). توصيات عامةوفيما يتعلق بإدارة استمرارية الأعمال، يحدد الجزء الثاني متطلبات نظام إدارة استمرارية الأعمال، وفقط تلك التي يمكن التحقق من امتثالها بشكل موضوعي. باستخدام هذه المتطلبات، يمكن للشركات تقييمها النظام الموجودإدارة استمرارية الأعمال، سواء بشكل مستقل أو بمشاركة مستشارين خارجيين. بناءً على الجزء الثاني من المعيار، ستصدر هيئات إصدار الشهادات استنتاجًا بشأن امتثال نظام إدارة استمرارية الأعمال لمتطلبات معيار BS 25999.

BS 25777:2008 "إدارة استمرارية تكنولوجيا المعلومات والاتصالات - قواعد الممارسة"

تم تطوير المعيار البريطاني BS 25777 من معايير استمرارية الأعمال الحالية BS 25999 والمواصفات العامة التكميلية PAS 77، والتي تلخص أفضل ممارسة العالمفي مجال ضمان استمرارية خدمات تكنولوجيا المعلومات.

تضمن إدارة استمرارية تكنولوجيا المعلومات والاتصالات السلامة اللازمة لتكنولوجيات وخدمات المعلومات والاتصالات والقدرة على استعادتها إلى مستوى محدد مسبقًا ضمن الإطار الزمني المطلوب، المتفق عليه مع إدارة المنظمة. تعتمد الإدارة الفعالة لاستمرارية الأعمال على إدارة استمرارية تكنولوجيا المعلومات والاتصالات لضمان قدرة المنظمة دائمًا على تحقيق أهدافها، خاصة في أوقات التعطيل.

يغطي BS 25777 قضايا مثل:

يتحكم برمجةاستمرارية تكنولوجيا المعلومات والاتصالات
دمج مبادئ إدارة استمرارية تكنولوجيا المعلومات والاتصالات في ثقافة المنظمة
توثيق نظام إدارة استمرارية تكنولوجيا المعلومات والاتصالات
تحديد متطلبات استمرارية تكنولوجيا المعلومات والاتصالات
تطوير وتنفيذ استراتيجية استمرارية تكنولوجيا المعلومات والاتصالات
تطوير واختبار خطط استمرارية تكنولوجيا المعلومات والاتصالات
إجراء تمارين لاستعادة خدمات تكنولوجيا المعلومات والاتصالات
صيانة وتحليل وتحسين نظام إدارة استمرارية تكنولوجيا المعلومات والاتصالات
وإلخ.

معيار PAS 77:2006 "إدارة استمرارية خدمات تكنولوجيا المعلومات"

يشرح دليل إدارة استمرارية خدمات تكنولوجيا المعلومات المبادئ وبعض الممارسات الموصى بها لإدارة استمرارية خدمات تكنولوجيا المعلومات. وهو مخصص للاستخدام من قبل الأشخاص المسؤولين عن تنفيذ وتقديم وإدارة استمرارية خدمات تكنولوجيا المعلومات في المؤسسة.

يهدف هذا التوجيه إلى استكمال (وليس استبدال) المنشورات الأخرى حول هذا الموضوع، مثل PAS 56 وBS ISO/IEC 20000 وBS ISO/IEC 17799:2005 وISO 9001. ولا ينبغي اعتباره تطبيقًا خطوة بخطوة. تعليمات عمليات إدارة استمرارية خدمات تكنولوجيا المعلومات، بل كدليل لبعض جوانب ITSCM التي يجب على المنظمات مراعاتها عند الاستثمار في هذا المجال.

لقد تجاوز أحد المعايير الدولية الأولى لإدارة أمن المعلومات - المعيار البريطاني BS 7799 - الحدود الوطنية منذ فترة طويلة. تم تطوير الجزء الأول منه، BS 7799-1 "القواعد العملية لإدارة أمن المعلومات"، في عام 1995 بأمر من الحكومة البريطانية من قبل معهد المعايير البريطانية ( بريطانيالمعاييرمؤسسة (بي إس آي) بطولة المنظمات التجارية، مثل صدَفَة, وطنيوستمنستربنك, ميدلاندبنك, يونيليفر, بريطانيالاتصالات السلكية واللاسلكية, ماركس & سبنسر, المنطقوإلخ.

كما تشير الأسماء، هذه الوثيقة هي دليل عمليعلى إدارة أمن المعلومات في المنظمة، بغض النظر عن ملف أنشطتها العملية. ويصف 10 مجالات و127 آلية مراقبة مطلوبة لبناء نظام إدارة أمن المعلومات، محددة على أساسها أفضل الأمثلةمن الممارسة العالمية.

وفقا لهذا المعيار، أي خدمة أمنية هو - هي– يجب على إدارة القسم والشركة البدء بالعمل وفق الأنظمة العامة. لا يهم، نحن نتحدث عنبشأن حماية المستندات الورقية أو البيانات الإلكترونية.

في عام 1998، ظهر الجزء الثاني من هذا المعيار البريطاني - BS7799-2 "أنظمة إدارة أمن المعلومات". دليل المواصفات والتطبيقات"، والذي حدد النموذج العام لبناء نظام إدارة أمن المعلومات ومجموعة من متطلبات الزامية، للامتثال الذي يجب تنفيذ الشهادة. مع ظهور الجزء الثاني من BS 7799، الذي حدد ما يجب أن يكون عليه نظام إدارة أمن المعلومات، بدأ التطوير النشط لنظام إصدار الشهادات في مجال إدارة الأمن. في عام 1999، تمت مراجعة كلا الجزأين من BS7799 ومواءمتهما مع معايير نظام الإدارة الدولية ISO 9001 وISO 14001 بعد عام. قبلت اللجنة الفنية ISO BS 7799-1 دون تغييرات المعيار الدوليآيزو/آي إي سي 17799:2000.

تمت مراجعة الجزء الثاني من المواصفة BS 7799 في عام 2002، وفي نهاية عام 2005 تم اعتماده من قبل منظمة ISO كمعيار دولي ISO/IEC 27001:2005 " تكنولوجيا المعلومات- أساليب الأمن - أنظمة إدارة أمن المعلومات - المتطلبات." وفي الوقت نفسه، تم تحديث الجزء الأول من المعيار. مع إصدار ISO 27001، أصبحت مواصفات نظام إدارة أمن المعلومات الوضع الدوليوينبغي لنا الآن أن نتوقع زيادة كبيرة في دور ومكانة أنظمة إدارة أمن المعلومات المعتمدة وفقًا لمعيار ISO 27001.

تستمر عائلة 2700x من معايير إدارة الأمن الدولية في التطور بسرعة. وفقا لخطط ISO، وسوف تشمل:

معايير تحدد متطلبات نظام إدارة أمن المعلومات؛

نظام إدارة المخاطر؛

مقاييس وقياسات فعالية آليات الرقابة؛

دليل التنفيذ. ستستخدم مجموعة المعايير هذه نظام ترقيم تسلسلي بدءًا من 27000 وما بعده. سيتم تغيير اسم ISO/IEC 17799:2005 لاحقًا إلى ISO/IEC 27002.

في بداية عام 2006، تم اعتماد معيار وطني بريطاني جديد في مجال إدارة مخاطر أمن المعلومات، BS 7799-3، والذي حصل لاحقًا على المؤشر 27005.

المعيار البريطاني حاليا ب.س. 7799 مدعومة في 27 دول العالم، بما في ذلك دول الكومنولث البريطاني، بالإضافة إلى السويد، وهولندا، وروسيا.

ومع ذلك، تجدر الإشارة إلى المحتوى الأصلي للمعيار ب.س. 7799, والتي لا تزال تستخدم في عدد من البلدان.

وهو يتألف من جزأين.

يتم تحديد الجوانب التالية لأمن المعلومات وأخذها في الاعتبار:

السياسة الأمنية.

تنظيم الحماية.

تصنيف وإدارة مصادر المعلومات.

إدارة شؤون الموظفين.

الأمن الجسدي.

إدارة أنظمة الكمبيوتروالشبكات.

التحكم في الوصول إلى النظام.

تطوير وصيانة الأنظمة.

التخطيط للتشغيل السلس للمنظمة.

التحقق من امتثال النظام لمتطلبات أمن المعلومات.

"الجزء الثاني: مواصفات النظام" (1998)

الجوانب المذكورة في " الجزء 1" يتم تناولها في هذا الجزء من وجهة نظر شهادة نظام المعلومات للامتثال لمتطلبات المعيار.

يتم تعريف المواصفات الوظيفية المحتملة هنا أنظمة الشركاتإدارة أمن المعلومات من وجهة نظر التحقق من الامتثال لمتطلبات الجزء الأول من هذا المعيار. وفقا لأحكام هذا المعيار أيضا إجراءات تدقيق المعلوماتأنظمة الشركات.

يتم توفير إرشادات إضافية لإدارة أمن المعلومات من خلال إرشادات معهد المعايير البريطانية - بريطانيالمعاييرمؤسسة(بي إس آي) http:// شبكة الاتصالات العالمية. bsi- عالمي. com/ منشور خلال الفترة 1995-2003 ز.ج. كالسلسلة التالية:

مقدمة في إدارة أمن المعلومات – معلومةحمايةإدارة: انمقدمة.

خيارات الشهادة للمتطلبات القياسية ب.س. 7799 - خطةلب.س. 7799 شهادة.

إدارة بي اس 7799بشأن تقييم وإدارة المخاطر - دليل لتقييم المخاطر والمخاطر BS 7799إدارة

هل أنت مستعد للتدقيق لتلبية المتطلبات القياسية؟ ب.س. 7799- نكونأنتمستعدلأب.س. 7799 مراجعة?

إرشادات لإجراء التدقيق وفقًا لمتطلبات المعيار - ب.س. 7799 مرشدلب.س. 7799 التدقيق.

اليوم، القضايا العامة لإدارة أمن المعلومات للشركات والمنظمات، فضلا عن تطوير عمليات التدقيق الأمني لتلبية متطلبات المعيار ب.س. 7799 تعالجها اللجنة الدولية مشتركاِصطِلاحِيّلجنةايزو/ اللجنة الانتخابية المستقلةجي تي سي 1 بالاشتراك مع معهد المعايير البريطاني - بريطانيالمعاييرمؤسسة(بي إس آي) – (شبكة الاتصالات العالمية. bsi- عالمي. com), وعلى وجه الخصوص الخدمة UKAS (متحدمملكةمعتمدخدمة). تعتمد الخدمة المسماة المنظمات الحق في تدقيق أمن المعلومات وفقًا للمعيار ب.س.ايزو/ اللجنة الانتخابية المستقلة 7799:2000 (ب.س. 7799-1:2000) . الشهادات الصادرة عن هذه الهيئات معترف بها في العديد من البلدان. يرجى ملاحظة أنه إذا كانت الشركة معتمدة وفقًا للمعايير ايزو 9001 أو ايزو 9002 معيار ب.س.ايزو/ اللجنة الانتخابية المستقلة 7799:2000 (ب.س. 7799-1:2000) يسمح بشهادة النظام المشترك أمن المعلوماتمع شهادة الامتثال للمعايير ايزو 9001 أو ايزو/9002 سواء في المرحلة الأولية وأثناءها فحوصات التحكم. للقيام بذلك، من الضروري استيفاء شرط المشاركة في الشهادة المجمعة لمدقق حسابات مسجل وفقًا للمعيار ب.س.ايزو/ اللجنة الانتخابية المستقلة 7799:2000 (ب.س. 7799-1:2000). وفي الوقت نفسه، يجب أن تشير خطط الاختبار المشتركة بوضوح إلى إجراءات التحقق من نظام أمن المعلومات، ويجب على سلطات التصديق التأكد من أن التحقق من أمن المعلومات شامل.

لقد تجاوز أحد المعايير الدولية الأولى لإدارة أمن المعلومات - المعيار البريطاني BS 7799 - الحدود الوطنية منذ فترة طويلة. تم تطوير الجزء الأول منه، BS 7799-1 "القواعد العملية لإدارة أمن المعلومات"، في عام 1995 بأمر من الحكومة البريطانية من قبل معهد المعايير البريطانية ( بريطانيالمعاييرمؤسسة (بي إس آي) بمشاركة المنظمات التجارية مثل صدَفَة, وطنيوستمنستربنك, ميدلاندبنك, يونيليفر, بريطانيالاتصالات السلكية واللاسلكية, ماركس & سبنسر, المنطقوإلخ.

كما تشير الأسماء، تعد هذه الوثيقة دليلاً عمليًا لإدارة أمن المعلومات في المؤسسة، بغض النظر عن ملف تعريف أنشطتها العملية. ويصف 10 مجالات و127 ضوابط مطلوبة لبناء نظام إدارة أمن المعلومات، والتي تم تحديدها بناءً على أفضل الممارسات من جميع أنحاء العالم.

وفقا لهذا المعيار، أي خدمة أمنية هو - هي– يجب على إدارة القسم والشركة البدء بالعمل وفق الأنظمة العامة. لا يهم ما إذا كنا نتحدث عن حماية المستندات الورقية أو البيانات الإلكترونية.

في عام 1998، ظهر الجزء الثاني من هذا المعيار البريطاني - BS7799-2 "أنظمة إدارة أمن المعلومات". دليل المواصفات والتطبيق، الذي حدد النموذج العام لبناء نظام إدارة أمن المعلومات ومجموعة من المتطلبات الإلزامية للامتثال والتي يجب تنفيذ الشهادة بموجبها. مع ظهور الجزء الثاني من BS 7799، الذي حدد ما يجب أن يكون عليه نظام إدارة أمن المعلومات، بدأ التطوير النشط لنظام إصدار الشهادات في مجال إدارة الأمن. في عام 1999، تمت مراجعة كلا الجزأين من BS7799 ومواءمتهما مع معايير نظام الإدارة الدولية ISO 9001 وISO 14001 بعد عام. اعتمدت اللجنة الفنية ISO BS 7799-1 دون تغييرات كمعيار دولي ISO/IEC 17799:2000.

تمت مراجعة الجزء الثاني من المواصفة BS 7799 في عام 2002، وفي نهاية عام 2005 تم اعتماده من قبل ISO باعتباره المعيار الدولي ISO/IEC 27001:2005 "تكنولوجيا المعلومات - تقنيات الأمن - أنظمة إدارة أمن المعلومات - المتطلبات". وفي الوقت نفسه، تم تحديث الجزء الأول من المعيار. مع إصدار ISO 27001، اكتسبت مواصفات نظام إدارة أمن المعلومات مكانة دولية، ويمكننا الآن أن نتوقع زيادة كبيرة في دور ومكانة أنظمة إدارة أمن المعلومات المعتمدة وفقًا لمعيار ISO 27001.

تستمر عائلة 2700x من معايير إدارة الأمن الدولية في التطور بسرعة. وفقا لخطط ISO، وسوف تشمل:

معايير تحدد متطلبات نظام إدارة أمن المعلومات؛

نظام إدارة المخاطر؛

مقاييس وقياسات فعالية آليات الرقابة؛

ومع ذلك، تجدر الإشارة إلى المحتوى الأصلي للمعيار ب.س. 7799, والتي لا تزال تستخدم في عدد من البلدان.

وهو يتألف من جزأين.

يتم تحديد الجوانب التالية لأمن المعلومات وأخذها في الاعتبار:

السياسة الأمنية.

تنظيم الحماية.

تصنيف وإدارة مصادر المعلومات.

إدارة شؤون الموظفين.

الأمن الجسدي.

إدارة أنظمة الكمبيوتر والشبكات.

التحكم في الوصول إلى النظام.

تطوير وصيانة الأنظمة.

التخطيط للتشغيل السلس للمنظمة.

التحقق من امتثال النظام لمتطلبات أمن المعلومات.

"الجزء الثاني: مواصفات النظام" (1998)

هنا، سيتم تحديد المواصفات الوظيفية المحتملة لأنظمة إدارة أمن المعلومات في الشركات من وجهة نظر

من حيث التحقق من مطابقتها لمتطلبات الجزء الأول من هذه المواصفة القياسية. وفقا لأحكام هذا المعيار أيضا إجراءات تدقيق المعلوماتأنظمة الشركات.

مقدمة في إدارة أمن المعلومات – معلومةحمايةإدارة: انمقدمة.

خيارات الشهادة للمتطلبات القياسية ب.س. 7799 - خطةلب.س. 7799 شهادة.

إدارة بي اس 7799بشأن تقييم وإدارة المخاطر - دليل لتقييم المخاطر والمخاطر BS 7799إدارة

هل أنت مستعد للتدقيق لتلبية المتطلبات القياسية؟ ب.س. 7799- نكونأنتمستعدلأب.س. 7799 مراجعة?

إرشادات لإجراء التدقيق وفقًا لمتطلبات المعيار - ب.س. 7799 مرشدلب.س. 7799 التدقيق.

اليوم، القضايا العامة لإدارة أمن المعلومات للشركات والمنظمات، فضلا عن تطوير عمليات التدقيق الأمني لتلبية متطلبات المعيار ب.س. 7799 تعالجها اللجنة الدولية مشتركاِصطِلاحِيّلجنةايزو/ اللجنة الانتخابية المستقلةجي تي سي 1 بالاشتراك مع معهد المعايير البريطاني - بريطانيالمعاييرمؤسسة(بي إس آي) – (شبكة الاتصالات العالمية. bsi- عالمي. com), وعلى وجه الخصوص الخدمة UKAS (متحدمملكةمعتمدخدمة). تعتمد الخدمة المسماة المنظمات الحق في تدقيق أمن المعلومات وفقًا للمعيار ب.س.ايزو/ اللجنة الانتخابية المستقلة 7799:2000 (ب.س. 7799-1:2000) . الشهادات الصادرة عن هذه الهيئات معترف بها في العديد من البلدان. يرجى ملاحظة أنه إذا كانت الشركة معتمدة وفقًا للمعايير ايزو 9001 أو ايزو 9002 معيار ب.س.ايزو/ اللجنة الانتخابية المستقلة 7799:2000 (ب.س. 7799-1:2000) يسمح بالجمع بين شهادة نظام أمن المعلومات وشهادة الامتثال للمعايير ايزو 9001 أو ايزو/9002 سواء في المرحلة الأولية أو أثناء فحوصات المراقبة. للقيام بذلك، من الضروري استيفاء شرط المشاركة في الشهادة المجمعة لمدقق حسابات مسجل وفقًا للمعيار ب.س.ايزو/ اللجنة الانتخابية المستقلة 7799:2000 (ب.س. 7799-1:2000). وفي الوقت نفسه، يجب أن تشير خطط الاختبار المشتركة بوضوح إلى إجراءات التحقق من نظام أمن المعلومات، ويجب على سلطات التصديق التأكد من أن التحقق من أمن المعلومات شامل.

إن سلف المعايير الدولية لإدارة أمن المعلومات، وهو المعيار البريطاني BS 7799، قد تجاوز الحدود الوطنية لفترة طويلة. تم تطوير الجزء الأول منه، BS 7799-1، في عام 1995 بأمر من حكومة المملكة المتحدة. في بداية عام 2006، قدم البريطانيون معيارًا جديدًا في مجال إدارة مخاطر أمن المعلومات - BS 7799-3، والذي سيحصل لاحقًا على المؤشر 27005.

هناك العديد من مجالات الإدارة: الإنتاج، والتمويل، والمبيعات، والمشتريات، والموظفين، وما إلى ذلك. بفضل تطور أعمال التكنولوجيا الفائقة الحديثة، أصبحت أهمية مجالات مثل تكنولوجيا المعلومات وأمن المعلومات والجودة و بيئة. ويتجلى ذلك من خلال الشعبية المتزايدة في جميع أنحاء العالم للمعايير الدولية المقابلة لسلسلة ISO 2700x وISO 2000x وISO 900x وISO 1400x. المبادئ الأساسية للإدارة، بشكل عام، هي نفسها في جميع المجالات، وبالتالي فإن أنظمة الإدارة المقابلة تكمل بعضها البعض، وتشكل نظام إدارة متكامل للمنظمة (IMS). من الصعب المبالغة في تقدير مساهمة معهد المعايير البريطاني (BSI) في تطوير المعايير الدولية لإدارة المنظمات، بما في ذلك أنظمة الإدارة المتكاملة، والتي هي موضوع سلسلة منشورات BSIBIP 2000.

بعد الانتشار الواسع النطاق لمعيار ISO 9001 وأنظمة إدارة الجودة، بدأت المعايير الدولية لإدارة أمن المعلومات - ISO/IEC 27001/17799 - أخيرًا في ترسيخ جذورها في روسيا. لقد أصبحت متاحة باللغة الروسية، وبدأت مناقشة عامة حول مشروع معايير أمن المعلومات الوطنية ذات الصلة GOST R ISO/IEC 27001 وGOST R ISO/IEC 17799، وأصبحت خدمات التصديق أكثر انتشارًا تدريجيًا.

إن سلف المعايير الدولية لإدارة أمن المعلومات هو المعيار البريطاني BS 7799. الجزء الأول منه، BS 7799-1 "القواعد العملية لإدارة أمن المعلومات"، تم تطويره بواسطة BSI في عام 1995 بناءً على طلب من حكومة المملكة المتحدة. كما يوحي العنوان، تعد هذه الوثيقة دليلاً عمليًا لإدارة أمن المعلومات في المؤسسة. وهو يصف 10 مجالات و127 ضوابط مطلوبة لبناء نظام إدارة أمن المعلومات (ISMS)، والتي تم تحديدها بناءً على أفضل الممارسات من جميع أنحاء العالم. في عام 1998 ظهر الجزء الثاني من هذا المعيار البريطاني - BS 7799-2 "أنظمة إدارة أمن المعلومات". "دليل المواصفات والتطبيق"، الذي حدد النموذج العام لبناء نظام إدارة أمن المعلومات (ISMS) ومجموعة من المتطلبات الإلزامية للامتثال والتي يجب تنفيذ الشهادة بموجبها. مع ظهور الجزء الثاني من BS 7799، الذي حدد ما ينبغي أن يكون عليه نظام إدارة السلامة، بدأ التطوير النشط لنظام إصدار الشهادات في مجال إدارة السلامة. في عام 1999، تمت مراجعة كلا الجزأين من المعيار BS 7799 ومواءمتهما مع معايير أنظمة الإدارة الدولية ISO 9001 وISO 14001، وبعد مرور عام، اعتمدت اللجنة الفنية لـ ISO المعيار BS 7799-1 دون تغيير باعتباره المعيار الدولي ISO/IEC 17799:2000.

تمت مراجعة الجزء الثاني من المواصفة BS 7799 في عام 2002، وفي نهاية عام 2005 تم اعتماده من قبل ISO كمعيار دولي ISO/IEC 27001:2005 تكنولوجيا المعلومات - تقنيات الأمن - أنظمة إدارة أمن المعلومات - المتطلبات. وفي الوقت نفسه، تم تحديث الجزء الأول من المعيار. مع إصدار ISO 27001، اكتسبت مواصفات ISMS مكانة دولية، ويمكننا الآن أن نتوقع زيادة كبيرة في دور ومكانة ISMS المعتمدة وفقًا لمعيار ISO 27001.

تستمر عائلة 2700x من معايير إدارة الأمن الدولية في التطور بسرعة. وفقًا لخطط ISO، ستتضمن معايير تحدد متطلبات نظام إدارة أمن المعلومات (ISMS)، ونظام إدارة المخاطر، ومقاييس وقياس فعالية الضوابط، بالإضافة إلى إرشادات التنفيذ. ستستخدم مجموعة المعايير هذه نظام ترقيم تسلسلي بدءًا من 27000 وما بعده. سيتم تغيير اسم ISO/IEC 17799:2005 لاحقًا إلى ISO/IEC 27002. وهناك أيضًا مسودة معيار ISO/IEC 27000 قيد التطوير، والتي ستحتوي على مبادئ وتعريفات أساسية وسيتم توحيدها مع معايير إدارة تكنولوجيا المعلومات الشائعة: COBIT وITIL.

في بداية عام 2006، تم اعتماد معيار وطني بريطاني جديد في مجال إدارة مخاطر أمن المعلومات، BS 7799-3، والذي سيحصل لاحقًا على المؤشر 27005. ويجري العمل أيضًا على معايير تنفيذ وقياس فعالية أي معيار وطني بريطاني جديد في مجال إدارة مخاطر أمن المعلومات. ISMS، الذي سيحصل على الفهارس 27003 و27004، على التوالي، ومن المقرر إصدار هذه المعايير الدولية في عام 2007.

تاريخ بس 7799

وفقًا لمجموعة مستخدمي ISMS التي تحتفظ بالسجل الدولي للشهادات، اعتبارًا من أغسطس 2006، كان هناك أكثر من 2800 منظمة من 66 دولة معتمدة لمعيار ISO 27001 (BS 7799)، بما في ذلك أربع مؤسسات. الشركات الروسية. ومن بين المنظمات المعتمدة أكبر شركات تكنولوجيا المعلومات والخدمات المصرفية و القطاع الماليوالشركات في قطاع الوقود والطاقة وقطاع الاتصالات. ومن المتوقع أن يصل عدد حاملي الشهادات في روسيا عام 2007 إلى العشرات.

7799/17799/27001: الإيجابيات والسلبيات

لقد أصبح BS 7799 تدريجياً "المعيار الرئيسي لأمن المعلومات". ومع ذلك، عندما ناقشت منظمة ISO الإصدار الأول من المعيار الدولي ISO 17799 في أغسطس 2000، كان من الصعب تحقيق الإجماع. تسببت الوثيقة في الكثير من الانتقادات من ممثلي القوى الرائدة في مجال تكنولوجيا المعلومات، الذين زعموا أنها لا تستوفي المعايير الأساسية للمعايير الدولية.

يقول جين تروي، ممثل الولايات المتحدة في اللجنة الفنية لمنظمة ISO: "لم تكن هناك طريقة لمقارنة هذه الوثيقة بجميع أوراق السلامة الأخرى التي نظرت فيها ISO على الإطلاق".

عارضت العديد من الدول، بما في ذلك الولايات المتحدة الأمريكية وكندا وفرنسا وألمانيا، اعتماد ISO 17799. وفي رأيهم، تعتبر هذه الوثيقة جيدة كمجموعة من التوصيات، ولكن ليس كمعيار. في الولايات المتحدة الأمريكية والدول الأوروبية، قبل عام 2000، تم بالفعل إنجاز قدر كبير من العمل لتوحيد أمن المعلومات. "هناك عدة طرق مختلفة لأمن تكنولوجيا المعلومات. لقد اعتقدنا أنه من أجل الحصول على معيار دولي مقبول حقًا، يجب قبولها جميعًا للنظر فيها، بدلاً من أخذ إحدى الوثائق والموافقة عليها على عجل. يقول تروي لجين: "لقد تم تقديم معيار السلامة الرئيسي كأمر واقع، ولم تكن هناك ببساطة طريقة للبناء على الأعمال الأخرى التي تم إنجازها في هذا المجال".

ورد ممثلو BSI بأن العمل المعني يتناول في المقام الأول الجوانب الفنية وأن المعيار BS 7799 لم يعتبر أبدًا معيارًا تقنيًا. وعلى عكس معايير الأمان الأخرى، مثل الممارسات واللوائح الأمنية المقبولة عمومًا (CASPR) أو ISO 15408/المعايير المشتركة، فإنها تحدد الجوانب غير التقنية الأساسية لحماية المعلومات المقدمة بأي شكل من الأشكال. يقول ستيف تايلر، المتحدث الرسمي باسم BSI: "يجب أن يكون الأمر كذلك لأنه مخصص لجميع أنواع المؤسسات والبيئات الخارجية. إنها وثيقة لإدارة أمن المعلومات، وليست كتالوجًا لمنتجات تكنولوجيا المعلومات".

ورغم كل الاعتراضات، إلا أن سلطة المعهد البريطاني للمعايير (وهو مؤسس ISO والمطور الرئيسي للمعايير الدولية وهيئة إصدار الشهادات الرئيسية في العالم) هي التي سادت. تم إطلاق إجراء موافقة سريع وسرعان ما تم اعتماد المعيار.

الميزة الرئيسية لمعيار ISO 17799 هي مرونته وتعدد استخداماته. تنطبق مجموعة أفضل الممارسات الموضحة فيه على أي مؤسسة تقريبًا، بغض النظر عن الملكية ونوع النشاط والحجم والظروف الخارجية. إنها محايدة من الناحية التكنولوجية وتترك دائمًا خيار اختيار التقنيات.

عندما تطرح الأسئلة: "من أين نبدأ؟"، "كيف ندير أمن المعلومات؟"، "ما هي المعايير التي يجب التدقيق على أساسها؟" — سيساعد هذا المعيار في تحديد الاتجاه الصحيح وعدم إغفال النقاط المهمة. ويمكن استخدامه أيضًا كمصدر موثوق وأحد أدوات "بيع" الأمن لإدارة المنظمة، وتحديد المعايير وتبرير تكاليف أمن المعلومات.

ومع ذلك، فإن المرونة وتعدد الاستخدامات هما أيضًا نقطة الضعف في هذا المعيار. يقول النقاد إن ISO 17799 مجردة للغاية ومنظمة بشكل فضفاض بحيث لا تكون ذات قيمة حقيقية. الاستخدام غير الكافي له يمكن أن يعطي إحساسًا زائفًا بالأمان.

يصف ISO 17799 التدابير اللازمة لضمان السلامة في منظر عام، لكنه لا يذكر شيئًا عن الجوانب الفنية لتنفيذها. على سبيل المثال، يوصي المعيار باستخدام آليات التحكم في الوصول ويحدد تقنيات محددة مثل مفاتيح USB والبطاقات الذكية والشهادات وما إلى ذلك. ومع ذلك، فهو لا يأخذ في الاعتبار مزايا وعيوب هذه التقنيات وميزات وطرق تطبيقها.

الكسندر أستاخوف

قام المعهد البريطاني للمعايير (BSI)، بمشاركة المنظمات التجارية مثل شل، وبنك وستمنستر الوطني، وبنك ميدلاند، ويونيليفر، والاتصالات السلكية واللاسلكية البريطانية، وماركس آند سبنسر، ولوجيكا، وغيرها، بتطوير معيار لأمن المعلومات، والذي تم اعتماده كمعيار لأمن المعلومات. المعيار الوطني في عام 1995 القياسية بي اس 7799إدارة أمن المعلومات للمؤسسة، بغض النظر عن مجال نشاط الشركة.

وفقًا لهذا المعيار، يجب أن تبدأ أي خدمة أمنية أو قسم تكنولوجيا المعلومات أو إدارة الشركة في العمل وفقًا للوائح العامة. لا يهم ما إذا كنا نتحدث عن حماية المستندات الورقية أو البيانات الإلكترونية. حاليًا، يتم دعم المعيار البريطاني BS 7799 في 27 دولة، بما في ذلك دول الكومنولث البريطاني، بالإضافة إلى السويد وهولندا. في 2000 المعهد الدوليقامت معايير ISO المستندة إلى BS 7799 البريطاني بتطوير وإصدار المعيار الدولي لإدارة السلامة ISO / IEC 17799. اليوم يمكن القول أن BS 7799 و ISO 17799 هما نفس المعيار، والذي يحظى اليوم باعتراف عالمي ومكانة معيار ISO الدولي .

ومع ذلك، تجدر الإشارة إلى أن المحتوى الأصلي للمعيار BS 7799، الذي لا يزال يستخدم في عدد من البلدان. وهو يتألف من جزأين.

· السياسة الأمنية.

· تنظيم الحماية.

· تصنيف وإدارة مصادر المعلومات.

· إدارة شؤون الموظفين.

· الأمن الجسدي.

· إدارة أنظمة الكمبيوتر والشبكات.

· التحكم في الوصول إلى الأنظمة.

· تطوير وصيانة الأنظمة.

· التخطيط للتشغيل السلس للمنظمة.

· التحقق من التزام النظام بمتطلبات أمن المعلومات.

"الجزء الثاني: مواصفات النظام"(1998) ينظر في هذه الجوانب نفسها من منظور إصدار الشهادات نظام معلوماتللامتثال لمتطلبات المعيار.

وهي تحدد المواصفات الوظيفية المحتملة لأنظمة إدارة أمن المعلومات الخاصة بالشركة من وجهة نظر التحقق من امتثالها لمتطلبات الجزء الأول من هذا المعيار. وفقًا لأحكام هذا المعيار، يتم أيضًا تنظيم إجراءات تدقيق أنظمة معلومات الشركة.

يتم توفير توصيات إضافية لإدارة أمن المعلومات من خلال إرشادات معهد المعايير البريطانية (BSI) http://www.bsi-giobal.com/، المنشورة بين عامي 1995-2003 في السلسلة التالية:

· مقدمة لمشكلة إدارة أمن المعلومات – إدارة أمن المعلومات: مقدمة.

· فرص الحصول على شهادة مطابقة لمتطلبات المواصفة BS 7799 -التحضير للحصول على شهادة BS 7799.

· دليل لتقييم المخاطر BS 7799 وإدارة المخاطر.

· هل أنت مستعد لتدقيق BS 7799؟

· دليل للتدقيق BS 7799.

اليوم، اللجنة الدولية المشتركة الفنية ISO/IEC JTC 1 مع معهد المعايير البريطانية (BSI) - (www.bsi-global .com)، وعلى وجه الخصوص UKAS (الخدمة المعتمدة في المملكة المتحدة). تمنح هذه الخدمة المنظمات الحق في تدقيق أمن المعلومات وفقًا لمعيار BS ISO/IEC 7799:2000 (BS 7799-1:2000). الشهادات الصادرة عن هذه الهيئات معترف بها في العديد من البلدان.

يرجى ملاحظة أنه إذا كانت الشركة معتمدة وفقًا لـ معايير الأيزويسمح معيار 9001 أو ISO 9002 BS ISO/IEC 7799:2000 (BS 7799-1:2000) بدمج شهادة أمن المعلومات مع شهادة معايير ISO 9001 أو 9002، سواء في المرحلة الأولية أو أثناء عمليات التحقق من الصحة. وللقيام بذلك، يجب عليك استيفاء شرط المشاركة في الشهادة المجمعة لمدقق حسابات مسجل وفقًا لمعيار BS ISO/IEC 7799:2000 (BS 7799-1:2000). وفي الوقت نفسه، ينبغي أن تشير خطط الاختبار المشتركة بوضوح إلى إجراءات التحقق من أنظمة أمن المعلومات، ويجب على سلطات التصديق التأكد من أن التحقق من أمن المعلومات دقيق.