يعلمنا التدريب على شهادة ITIL التأسيسية أن الخدمات يتم تطويرها في دورة حياة ITIL المكونة من خمس خطوات. المرحلة الثانية من دورة حياة ITIL هي تصميم الخدمة. كما تمت مناقشته في التدريب على ITIL عبر الإنترنت، فإن مرحلة تصميم خدمة ITIL تحتوي على العديد من العمليات اللازمة لإكمال المرحلة بنجاح. إحدى العمليات الرئيسية في مرحلة تصميم الخدمة هي إدارة أمن المعلومات.
الهدف من إدارة أمن المعلومات
الهدف الرئيسي من هذه العملية هو مواءمة أمن تكنولوجيا المعلومات مع أمن الأعمال وضمان إدارة أمن المعلومات بفعالية. اعتمادًا على سياق وطبيعة الصناعة، قد يقوم مزود خدمة تكنولوجيا المعلومات بمعالجة أو استخدام بيانات سرية لشركة ما.
على سبيل المثال، لنفترض أن مزود خدمة تكنولوجيا المعلومات يستخدم بيانات من قسم الموارد البشرية أو المالية في الشركة. جميع سجلات الموظفين وتفاصيل التعويضات والمزايا هي بيانات سرية خاصة بقسم الموارد البشرية. وبالمثل، فإن المعاملات وتفاصيل الحسابات وما إلى ذلك هي بيانات سرية لقسم الشؤون المالية. لذلك، يجب تأمين هذه الأنواع من البيانات المؤسسية والسرية التي يستخدمها مزود خدمة تكنولوجيا المعلومات.
أهداف إدارة أمن المعلومات
هذا نشاط ضمن إطار حوكمة الشركات. تقوم الحوكمة المؤسسية للشركة بإعداد وإعلان وإملاء السياسات المتعلقة بكيفية القيام بمجموعة معينة من الأنشطة في الشركة. في هذا السياق، تعد إدارة أمن المعلومات أحد الموضوعات التي تغطيها حوكمة الشركة أيضًا.
توفر إدارة أمن المعلومات التوجيه الاستراتيجي للأنشطة الأمنية وتضمن تحقيق الأهداف. واستناداً إلى السياسات والاستراتيجيات الأمنية للشركة، يتم وضع الخطط والإجراءات. وتتم إدارة هذه الخطط والأنشطة وضمانها من خلال هذه العملية.
الهدف الآخر هو إدارة مخاطر أمن المعلومات بشكل مناسب. يمكن أن تكون هناك نقاط ضعف ونقص في أمن المعلومات في الشركة. ويجب على مزود خدمة تكنولوجيا المعلومات إدارة هذه المخاطر بشكل صحيح. وعلى المدى الطويل، يجب تقليل هذه المخاطر إلى الحد الأدنى.
الهدف النهائي هو ضمان السرية والنزاهة والتوافر والموثوقية/عدم التنصل.
إذا شرحنا كل عنصر هنا: السرية تعني أمن البيانات. وكما أوضحنا من قبل، فإن تفاصيل الموظفين أو تفاصيل المعاملات أو تفاصيل الحسابات كلها بيانات سرية للشركة وتهدف عملية إدارة أمن المعلومات إلى حماية هذه البيانات. النزاهة تعني تماسك جميع البيانات. على سبيل المثال، لا يكون عنوان الموظف ذا معنى إلا إذا كان مرتبطًا باسم الموظف ومعرفه في قاعدة البيانات، أو لا تكون تفاصيل المعاملة ذات معنى إلا إذا كانت مرتبطة بالبنك والعميل في قاعدة البيانات. لذلك، مع ضمان أمن البيانات، يجب توفير النزاهة أيضًا مع ضمان أمن البيانات. يضمن التوفر إمكانية الوصول إلى المعلومات أو البيانات المطلوبة عند الحاجة إليها. وأخيرًا، تضمن المصداقية وعدم التنصل من إدارة أمن المعلومات أن الأشخاص المصرح لهم فقط هم من يمكنهم الوصول إلى البيانات السرية. إذا كنت تفكر في بيانات تفاصيل الموظفين، هل يجب على جميع موظفي الشركة الوصول إلى جميع تفاصيل الموظفين في الشركة؟ بالطبع لا. لأن تفاصيل الموظف ستتضمن بيانات سرية للموظفين مثل الراتب أو معلومات المكافآت. يجب ألا تكون هذه البيانات مرئية لجميع موظفي الشركة. لذلك، تضمن عملية إدارة أمن المعلومات المصادقة على البيانات السرية.
إطار عمل إدارة أمن المعلومات
تتكون عملية إدارة أمن المعلومات والإطار الأمني بشكل عام من العناصر التالية
سياسة أمن المعلومات وسياسات أمنية محددة.
تحدد سياسة أمن المعلومات أو السياسات الأمنية كيفية ضمان أمن البيانات في الشركة. على سبيل المثال، المطالبة بتغيير كلمة المرور في كل 3 أشهر وطلب كلمة مرور جديدة في كل تغيير لكلمة المرور هي أمثلة على الآثار المترتبة على هذه السياسات لإدارة أمن المعلومات.
نظام إدارة أمن المعلومات
سيقوم نظام أمن المعلومات بتخزين تفاصيل تسجيل الدخول وكلمة المرور الخاصة بكل مستخدم، وتسجيل أنشطة كل مستخدم، وقفل إذا حاول مستخدم غير مصرح له تسجيل الدخول إلى النظام وما إلى ذلك. ويتم كل ذلك بمساعدة نظام إدارة أمن المعلومات.
استراتيجية أمنية شاملة
يمكن أن يكون هناك العديد من الأنظمة أو المواقع التي يتم فيها تخزين معلومات المؤسسة. يجب أن تضمن عملية إدارة أمن المعلومات وجود استراتيجية أمنية شاملة لتغطية أمن جميع المعلومات والبيانات الخاصة بالشركة.
هيكل أمني تنظيمي فعال لأمن المعلومات
وهذا يعني أنه يجب تعيين إدارة وموظفين رسميين لضمان أمن المعلومات في المؤسسة وأن يكون لهذه الإدارة سياسات ومجموعة من الأنشطة لضمان أمن البيانات السرية في الشركة.
مجموعة من الضوابط الأمنية لدعم السياسة
على سبيل المثال، المطالبة بإعادة تسجيل الدخول للمستخدمين في حالة عدم النشاط لمدة 10 دقائق، ومراجعة النظام في كل ساعة للتحقق مما إذا كان هناك أي مستخدمين مجهولين في النظام يقومون بأنشطة غير مصرح بها وما إلى ذلك. يمكن القيام بهذه الأنواع من الضوابط في نطاق إطار عمل إدارة أمن المعلومات.
إدارة المخاطر الأمنية
تتم إدارة المخاطر الأمنية في نطاق إطار عمل إدارة أمن المعلومات أيضاً. على الرغم من وضع الإجراءات والخطط والاستراتيجيات المناسبة وتنفيذها لضمان أمن المعلومات في المنظمة، إلا أنه لا يزال من الممكن أن تكون هناك نقاط ضعف أو تسرب من وجهة نظر أمنية. يجب إدارة هذه المخاطر ويجب توثيق الإجراءات التي يجب اتخاذها للتخفيف من هذه المخاطر. وفي الخطط المستقبلية، يجب القضاء على هذه المخاطر قدر الإمكان لضمان تعزيز أمن المعلومات في المؤسسة.
عمليات المراقبة لضمان الامتثال
والعنصر الأخير الذي تم تضمينه في إطار عمل إدارة أمن المعلومات هو مراقبة العمليات لضمان الامتثال. على الرغم من ضمان أمن المعلومات من خلال السياسات والخطط والاستراتيجيات، إلا أنه يجب مراقبتها من خلال العمليات للتحقق مما إذا كان يمكن ضمان الأمن المطلوب من خلال الإجراءات المتخذة. إذا لم يكن بالإمكان تحقيق الأمن المطلوب، يجب اتخاذ إجراءات تصحيحية.
مراجعة من قبل: كولين غراهام
إدارة أمن المعلومات: الموجز الكامل
About the Author
