يعد موضوع أمن المعلومات من الأمور الملحّة التي تشغل بال أصحاب المعلومات والبيانات المهمة في كل مرفق أو منشأة، سواء كانت هذه المعلومات تخصها أو تخص عملاءها، كما هو الشأن نفسه في المؤسسات والهيئات الحكومية والوزارات، وما يخص الدول، والسياسات العالمية.
ويرى المتخصّصون – وهو أيضا ما تقول به مؤسسة الأيزو وذكرته مفصلا في ملحق نظام أمن المعلومات أيزو 27001 – أنه يجب أن يكون لنظام أمن المعلومات عدة محاور يجب إنشاءها وتوثيقها وتطبيقها وصيانتها في كل منشأة تريد أن تطبّق نظاما سليما متكاملا لأمن المعلومات لديها؛ ومن هذه المحاور:
سياسة أمن المعلومات Security Policy : فيجب على الشركة أو المنشأة أن تكون لديها سياسة أمن المعلومات معتمدة من الإدارة وموثقة ومتاحة لكل العاملين المسئولين عن نظام أمن المعلومات. وكذلك الأطراف الخارجية المرتبطة الشركة. يجب أن تراجع السياسة الأمنية في فترات مخططة طبقاً لإجراء المراجعة الموثقة أو فى حالة وجود تغيرات مؤثرة لضمان استمراريتها وثباتها ومطابقتها وتأثيرها.
الهيكل التنظيمي لأمن المعلومات Organization of Information Security: داخل أو خلال المؤسسة، وذلك لتحديد التزامات الإدارة العليا لتأمين المعلومات، وتنسيق أمن المعلومات، وتحديد المسئوليات، وعمليات التفويض لأماكن عمليات المعلومات، واتفاقيات الحفاظ على السرية، والاتصال والتعاون بين الهيئات، والأطراف الخارجية.
إدارة الأصول Asset Management: وذلك للوصول والتعامل مع الحماية المناسبة لأصول المؤسسة، وتحديد قائمة جرد الممتلكات، وملكية هذه الأصول، والاستخدام المقبول لها، وتصنيف وتمييز وتداول المعلومات.
أمن الموارد البشرية Human Resources Security: وذلك لضمان تفهم الموظفين والمقاولين ومستخدمي الطرف الثالث لمسئولياتهم وأنها مناسبة لدورهم. ولتقليل مخاطر السرقة والخداع وسوء استخدام الموارد والأماكن. كما يجب التحري ووضع اشتراطات للتعيين، والتدريب على أمن المعلومات، وإجراءات إنهاء التعيين وغير ذلك.
تأمين المناطق والظروف المناخية Physical and Environmental Security: وذلك بهدف منع من ليس لهم سلطة اختراق وإتلاف المباني التي تحتوي على مراكز معلوماتية للمؤسسة، فيجب تأمين المناطق، والتحكم في عملية الدخول إليها، وتأمين المكاتب والغرف والمعدات، والتأمين ضد التهديدات الخارجية والبيئية، والعمل في المناطق الآمنة، ومناطق الدخول العام والتسليم والتحميل، وأمن الأجهزة، واختيار وحماية مواقع الأجهزة، وتأمين الكوابل، وصيانة الأجهزة، وتأمين عملية التخلص من الأجهزة أو إعادة استخدامها، وكيفية إزالة الممتلكات.
إدارة الاتصالات والعمليات Communication and Operation Management : وذلك بهدف التأكد من التشغيل الصحيح والآمن لوسائل معالجة المعلومات. بوضع إجراءات التشغيل الموثقة، وكيفية إدارة تعديلات التشغيل، وعمليات الفصل للواجبات ولوسائل التشغيل والتطوير، وإدارة توصيل خدمات الطرف الثالث، وتوصيل الخدمات، وعملية مراقبة ومراجعة خدمات الطرف الثالث، وعمليات تخطيط وقبول النظام، والضوابط الأمنية ضد البرامج والأكواد المنقولة، والنسخ الاحتياطية للمعلومات، وإدارة أمن الشبكات، وأمن وثائق النظام، وسياسة وإجراءات تبادل المعلومات.
مراقبة الدخول Access control: وذلك بهدف ضبط والتحكم في الدخول على المعلومات، وكيفية اعتماد وتسجيل المستخدم، وإدارة حقوق الامتياز وكلمة السر، ومراجعة الحقوق والمسئوليات للمستخدمين، ومراقبة الدخول، وخطط العمل عن بعد، وغير ذلك.
تطوير وصيانة نظم المعلومات Information Systems development and maintenance: وذلك بهدف التأكيد على أن المطالب الأمنية جزء متكامل من نظم المعلومات، وتحليل وتوصيف المتطلبات الأمنية، وتحديد العمليات الصحيحة في التطبيقات، لمنع أخطاء وفقد التعديلات غير المصرح بها، وضوابط التشفير، وضبط الأضرار الفنية.
إدارة حوادث أمن المعلومات Information security incident management: وذلك بهدف ضمان أن أحداث أمن المعلومات ونقاط الضعف المرتبطة بنظم المعلومات تكون متصلة بشكل يسمح باتخاذ الإجراءات التصحيحية في لوقت المناسب.
إدارة استمرارية العمل Business continuity management: بهدف إبطال العوائق لنشاط المؤسسة ولحماية سير العمل الأساسي من تأثير الكوارث او الأعمال الفاشلة الضخمة لنظام المعلومات لضمان استعادتها في الوقت المناسب.
التطابق مع القوانين والتشريعات Compliance: وذلك لتحاشى مخالفة كل من القوانين الجنائية والمدنية والتشريعات والارتباطات التعاقدية التي تشمل متطلبات أمنية. والتعرف على التشريعات السارية وحقوق الملكية الفكرية، وغير ذلك.
الكاتب: م. ربيع الزواوي
استشاري نظم الإدارة وتكنولوجيا المعلومات ومدير عام أيزوتك