كما تمت مناقشته في برامج التدريب على شهادة ITIL التأسيسية، فإن سياسة أمن المعلومات هي جزء من إطار عمل أمن المعلومات ITIL. تصف سياسة أمن المعلومات كيفية ضمان أمن المعلومات والبيانات في الشركة. يجب أن تدعم الإدارة التنفيذية العليا لتكنولوجيا المعلومات سياسة أمن المعلومات. هذا أمر بالغ الأهمية لأنه إذا لم يتم دعمها من قبل الإدارة وإذا كانت هناك تسريبات أو إذا كان بعض الموظفين يخرقون السياسة بطريقة أو بأخرى، فسيؤدي ذلك إلى انعدام أمن البيانات السرية للشركة. هذه الوثيقة هي وثيقة مهمة في عملية إدارة أمن المعلومات والتي تشكل جزءًا من مرحلة تصميم خدمة ITIL من دورة حياة ITIL. وهذا موصوف في جميع التدريبات الجيدة على الإنترنت في ITIL.
يجب أن تغطي سياسة أمن المعلومات جميع جوانب الأمن وأن تكون مناسبة وتلبي احتياجات العمل أيضاً. إذا كانت السياسة لا تفي بمتطلبات العمل، فلن يكون لها معنى لأن مزود خدمة تكنولوجيا المعلومات يهدف بشكل أساسي إلى توفير الخدمات والعمليات لاستخدام الأعمال. وفي هذا السياق، يجب أن تكون سياسة أمن المعلومات متوافقة مع متطلبات العمل أو العميل أيضاً. سياسة أمن المعلومات هي وثيقة حية تتطور وتتغير مع تطور متطلبات العمل وتغير عالم التكنولوجيا.
كيف تبدو سياسة أمن المعلومات الجيدة؟
يجب أن تتضمن المبادئ التوجيهية لـ استخدام وإساءة استخدام أصول تكنولوجيا المعلومات: على سبيل المثال، ما هي الإجراءات التي سيتم اتباعها في حالة فقدان جهاز تخزين بالدولار الأمريكي يتضمن بيانات سرية خاصة بقسم الشؤون المالية؟ أو ما هي الخطوات التي سيتم اتخاذها في حالة سرقة جهاز كمبيوتر محمول لأحد كبار المسؤولين التنفيذيين مع تضمينه بيانات سرية للغاية للشركة؟ يجب تضمين هذه الأمور كإرشادات في سياسة أمن المعلومات. التحكم في الوصول: كيف سيتم تأمين وصول المستخدمين إلى المعلومات؟ على سبيل المثال، يمكن طلب كلمة مرور معقدة من المستخدم. أو في حالة الأنشطة السرية للغاية، يمكن طلب كلمة مرور إضافية مع مولد مفاتيح. هذه هي نقاط التحكم في الوصول التي يجب تضمينها في سياسة أمن المعلومات. من المهم تحديد المستندات التي تحتاج إلى أي مستوى من التحكم في الوصول وكذلك من سيقرر أي الموظفين المسموح لهم بالوصول إلى مستندات معينة. على سبيل المثال، هل يمكن للموظف الذي لديه صلاحية الوصول إلى وثائق معينة أن يمنح صلاحية الوصول لمستخدم آخر، أم يجب أن يكون مصرحاً من قبل مسؤول تنفيذي أو مدير تكنولوجيا المعلومات؟ يجب تحديد ذلك في سياسة أمن المعلومات. التحكم في كلمة المرور: ماذا سيكون تكرار تغيير كلمة المرور؟ ما هو الحد الأدنى والأقصى لعدد الأحرف لكلمة المرور؟ هل ستتطلب أحرفاً معقدة أم ستكون الأرقام كافية؟ يجب توثيق ذلك في سياسة أمن المعلومات. مكافحة فيروسات البريد الإلكتروني والإنترنت: توفر معظم شركات الشركات مضاداً للفيروسات لجميع أجهزة الكمبيوتر في الشركة. ويتم أيضًا تثبيت سياسة الإنترنت في كل جهاز كمبيوتر في الشركات. وهذه تحمي أجهزة الكمبيوتر في الشركة من الهجمات الخارجية أو المخترقين الذين يحاولون سرقة البيانات السرية للشركة. كما يجب أن تتضمن السياسة أيضاً معلومات تتعلق بجدار الحماية الخاص بالشركة وأنواع المعلومات التي يمكن أن تدخل وتخرج من الشبكة الداخلية. التخلص من الأصول: على سبيل المثال، كيف سيتم التخلص من الأقراص المدمجة أو أقراص الفيديو الرقمية القديمة التي تتضمن بيانات الشركة؟ هل سيتم حرقها أو ببساطة رميها في سلة المهملات؟ حتى أن هناك مؤسسات خاصة تقوم بجمع أجهزة التخزين القديمة أو الأقراص الخارجية للشركات وحرقها في منطقة آمنة. يجب توثيق كيفية التخلص من الأصول أيضاً. تصنيف المعلومات والوثائق: يمكن أن يكون هناك عدة أنواع من البيانات أو المعلومات في الشركة. على سبيل المثال، يتضمن الدليل النشط الأسماء والألقاب ومعلومات الاتصال لكل موظف. لذلك، يجب أن تكون هذه المعلومات متاحة لكل موظف في الشركة. من ناحية أخرى، تعتبر معلومات الرواتب أو المكافآت سرية ولا يمكن إلا لموظفي الموارد البشرية فقط الوصول إلى هذه البيانات. يجب أن تتم هذه الأنواع من المعلومات وتصنيف الوثائق في نطاق سياسة أمن المعلومات. الوصول عن بُعد: توفر معظم الشركات إمكانية الوصول عن بعد إلى شبكة الشركة من الشبكات الخارجية. يتم توفيرها عن طريق الشبكات الخاصة الافتراضية ومولدات المفاتيح وما إلى ذلك. كما يتم تضمين سياسات الوصول عن بُعد إلى شبكة الشركة أيضاً. وصول الموردين إلى خدمات تكنولوجيا المعلومات: يمكن لمزود خدمات تكنولوجيا المعلومات الحصول على خدمات خارجية من الموردين أو الشركاء بما يتوافق مع عملية إدارة الموردين. في هذه الحالة، يجب توثيق كيفية وصول المورد إلى بيانات الشركة وتخطيطها في نطاق سياسة أمن المعلومات. سيتم تقديم بيانات الشركة إلى مؤسسة خارجية ويجب أن يتم ذلك بطريقة آمنة. يمكن لسياسة أمن المعلومات أن تحدد ما إذا كان يمكن استخدام الخدمات السحابية لمشاركة المعلومات مع الموردين في بيئة خارج نطاق الشبكة الداخلية للشركة، ولكن يجب على مدير أمن المعلومات التأكد من أن الوثائق التي تتم مشاركتها مع الموردين الخارجيين محمية وتبقى ملكاً للشركة.
ما مدى أهمية ذلك؟
تخلق سياسة أمن المعلومات المناسبة الشفافية فيما يتعلق بكيفية تخزين المعلومات الآمنة في الشركة. فهي تساعد الموظفين على فهم كيفية التعامل مع معلوماتهم. سيشعر الموظفون بالأمان إذا علموا أن المعلومات الحساسة المتعلقة برواتبهم يتم تخزينها بشكل آمن. وبالمثل، فإن الموظفين الذين يعملون مع معلومات سرية للغاية مثل تطوير منتجات أو خدمات جديدة سيكونون على دراية بالتدابير التي يجب اتخاذها لضمان بقاء معلومات الشركة آمنة. ويكتسب أمن تكنولوجيا المعلومات الراسخ أهمية خاصة في مرحلة تصميم الخدمة من دورة حياة خدمة ITIL حيث يتم تطوير الكثير من المعلومات الحساسة المتعلقة بالخدمات الجديدة خلال هذه المرحلة.
وبمساعدة أسئلة الاختبار التأسيسي لتكنولوجيا المعلومات ITIL، يمكنك تقييم معرفتك حول إطار عمل سياسة أمن المعلومات والتأكد من أنك توفر إدارة جيدة لأمن المعلومات لمؤسستك.
مراجعة من قبل: سالي فرانكلين
سياسة أمن المعلومات 2025: كيف يجب أن تبدو؟
About the Author
