Posted in Wireless Services - ITIL

Information Security Management



الخدمة التي ستصل الي العميل و هي غير مؤمنة لا تعطي قيمة Value و هذا هو الغرض من عملية Information Security Management

تعرف ITIL أمن المعلومات بأنه “عملية الإدارة داخل إطار حوكمة الشركات ، والتي توفر التوجيه الاستراتيجي للأنشطة الأمنية وتضمن تحقيق الأهداف”.

“the management process within the corporate governance framework, which provides the strategic direction for security activities and ensures objectives are achieved.”

من الأمور الأساسية لإدارة أمن المعلومات (ISM) هو تحديد المخاطر التي تهدد أمن معلومات المنظمة وتخفيفها. تضمن عملية ISM أن يتم النظر في جميع جوانب الأمن وإدارتها طوال دورة حياة الخدمة.

Purpose of Information Security Management

الغرض من عملية إدارة أمن المعلومات ISM هو التأكد من أن أمن تكنولوجيا المعلومات يفي بمتطلبات أمن المؤسسة هذه العملية مسؤولة عن التأكد من أن المعلومات والبيانات وخدمات تكنولوجيا المعلومات التي تستخدمها المنظمة محمية إلى المستوى المناسب. يجب أن تظل المعلومات سرية ، و متاحة فقط لأولئك الذين لديهم حقوق الوصول المصرح بها مسبقا. و يجب حماية البيانات من أي فساد أو تغيير غير مصرح به وأخيرًا ، يجب أن تكون المعلومات متاحة للمستخدمين المعتمدين عند الحاجة من خلال أنظمة قوية مقاومة للفشل.

اذن فمن خلال ضمان هذه جوانب – السرية confidentiality و السلامة أو النزاهة integrity والتوافر availability – تمكّن ISM الشركة من تحقيق أهدافها.

عند نقل المعلومات بين المنظمات التي بينها تعامل تجاري فإنه يجب على ISM ضمان حماية هذا التبادل حتى يمكن الوثوق بالمعلومات.

Objectives of Information Security Management

تحدد ITIL هدف إدارة أمن المعلومات (ISM) على أنه “لحماية مصالح أولئك الذين يعتمدون على المعلومات ، والنظم والاتصالات التي تقدم المعلومات ، من الأذى الناتج عن خرق في الأمان أو النزاهة أو التوافر

  • خرق الأمان يخص جودة السيستم utility
  • خرق النزاهة يخص الجانب البشري
  • خرق التوافر يخص جانب الضمان warranty

Scope of Information Security Management

يشمل نطاق ISM جميع جوانب أمن المعلومات التي تهم العمل. فيقع على عاتق الشركة مسؤولية تحديد ما يتطلب الحماية ومدى قوة هذه الحماية. في البداية يجب الاعتراف بالمخاطر على الأمن ، ويجب تنفيذ التدابير المضادة المناسبة سواء كان أمن فيزيائي physical security مثل تقييد الوصول إلى المناطق الآمنة من خلال بطاقات الممغنطة . أو أمن معلوماتي IT security مثل سياسات كلمة المرور

Producing an Information Security Policy

إن عملية إدارة أمن المعلومات مسؤولة عن إنتاج والحفاظ على سياسة أمن المعلومات و يجب أن تكون سياسة أمن المعلومات معلومة لجميع موظفي تكنولوجيا المعلومات والعملاء والمستخدمين و يعتبر إجراء عمليات spot checks تفتيش مفاجئة أيضًا جزء من ISM لضمان تنفيذ السياسة الأمنية .

لإنتاج مثل هذه السياسة ، يجب على مدير أمن تكنولوجيا المعلومات أن يكون لديه فهم شامل لجميع القضايا الأمنية داخل المنظمة. يجب أن يتضمن ذلك فهمًا لسياسة ومتطلبات أمن العمل بشكل عام ، وخططها الحالية والمستقبلية ، وكيف يمكن أن تؤثر هذه المتطلبات على الأمن و مدي تأثير أي مخاطر أخري على الأمن (إما مخاطر العمل أو مخاطر تكنولوجيا المعلومات) ، بما في ذلك كيفية إدارة هذه المخاطر). يجب أيضًا تضمين أي متطلبات قانونية legal أو تنظيمية regulatory معينة. على سبيل المثال ، ستخضع المؤسسة التي تتعامل مع مدفوعات بطاقات الائتمان عبر الإنترنت online credit-card payments إلى لوائح خاصة للتأكد من أن المعاملات محمية بشكل كافٍ.

ينبغي أن تركز أنشطة إدارة أمن المعلومات على سياسة شاملة لأمن المعلومات وعلى مجموعة من السياسات الأمنية المحددة. يجب أن تحظى سياسة أمن المعلومات بالدعم الكامل من الإدارة التنفيذية العليا لتكنولوجيا المعلومات ومن الناحية المثالية دعم والتزام إدارة الأعمال التنفيذية العليا. يجب أن تغطي السياسة جميع مجالات الأمان وتكون مناسبة لتلبية احتياجات العمل ؛ على وجه التحديد ، يجب أن تتضمن ما يلي:

استخدام وسوء استخدام سياسة أصول تكنولوجيا المعلومات

سياسة التحكم في الوصول access control

سياسة التحكم في كلمة المرور

سياسة البريد الإلكتروني

سياسة الإنترنت

سياسة مكافحة الفيروسات

سياسة تصنيف المعلومات information classification

سياسة تصنيف الوثيقة document classification

سياسة وصول عن بعد remote access

سياسة فيما يتعلق بوصول المورد إلى خدمة تكنولوجيا المعلومات والمعلومات والمكونات

سياسة انتهاك حقوق الطبع copyright infringement
والنشر للمواد الإلكترونية

سياسة التخلص من الأصول asset disposal

سياسة الاحتفاظ بالسجلات records retention

في معظم الحالات ، يجب أن تكون هذه السياسات متاحة على نطاق واسع لجميع العملاء والمستخدمين ، وينبغي يمتثلوا لمتضمانتها و يكون هذا الإمتثال شرطا في جميع الإتفاقيات و العقود مثل SLRs ، SLA ، OLA ، UC.و يتم تخزينها في نظام معلومات إدارة الأمن (SMIS) ، كما هو موضح في الشكل فإن SMIS جزءًا من النظام الشامل لإدارة المعرفة بالخدمات (SKMS).

Educating Staff About Security

تتضمن عملية إدارة أمن المعلومات إنتاج سياسة أمن المعلومات ونشر محتوياتها. وتتضمن العملية أيضًا العمل مع الشركة لفهم الاحتياجات الحالية والمستقبلية في هذا المجال. إن تنفيذ تدابير الحماية المناسبة والضوابط لإدارة المخاطر المحددة وضمان أن يتم توثيق هذه التدابير والحفاظ عليها هي جوانب مستمرة في هذه العملية.

يجب على مدير أمن المعلومات التأكد من وجود ضوابط لإدارة الوصول إلى الأنظمة الآمنة من قبل موردين آخرين third-party suppliers وضمان عدم إلغاء الأجهزة المعيبة أو المتقادمة دون إزالة البيانات الموجودة داخلها. يجب أن يكون الموظفون على دراية بمسؤولياتهم فيما يتعلق بحماية البيانات (نقل البيانات على محركات أقراص فلاش غير مشفرة ومشاركة كلمات المرور وما إلى ذلك) ؛ في حالة حدوث خرق ، يجب استخدام ذلك كفرصة لإعادة تقييم السياسة الحالية من أجل الفعالية.

لسياسة أمنية فعالة ، يجب ألا يعتبر الأمن جانباً إضافياً أو مكملا غير أساسيا ولكنه لابد أن ينظر اليه كجزء لا يتجزأ من تصميم وتشغيل جميع الخدمات عبر جميع عمليات ITSM ,فالأمن هو عملية مستمرة ينبغي علي أساسها لمدير أمان المعلومات أن يراجع باستمرار التهديدات المحتملة وأن يتخذ الخطوات اللازمة لحماية بيانات المؤسسة. تحدث المزيد من الانتهاكات الأمنية نتيجة لقلة الوعي. يجب أن يؤكد مدير أمن المعلومات باستمرار على أهمية الالتزام بالسياسة وأن يسعى بشكل استباقي proactively لتحسين الأمن وتقليل المخاطر.

يجب أن تنشر الإدارة العليا سياسات أمن المعلومات بشكل واضح و عام و التأكيد على أهمية الالتزام بالسياسات والتأكد من أن جميع الموظفين على علم بماهية السياسات. وسيساعد نشر السياسات من خلال العروض التقديمية والإشعارات والملصقات وما إلى ذلك على توصيل الرسالة. يجب ألا يكون هناك مجال لموظف ما بخرق السياسة المنية بحجة أنه لا يعرف ما هي هذه السياسة. و إذا حدث خرق أو استهتار متعمد deliberate flouting للسياسات ، فمن الضروري أن تؤخذ هذه على محمل الجد ، مع اتخاذ تدابير تأديبية disciplinary measures مناسبة.

طبيعة التهديدات الأمنية تتغير مع تطور التكنولوجيا ؛ لدى العديد من المؤسسات الآن سياسات أمنية حول تنزيل الموسيقى أو الوصول إلى Facebook أو اليوتيوب و التي لم تكن ضرورية قبل بضع سنوات. من الضروري أن تتوافق السياسات الأمنية مع التهديدات الجديدة. لذلك يجب مراجعة جميع السياسات الأمنية بشكل رسمي – وتنقيحها عند الضرورة – على الأقل كل 12 شهرًا.

نادر المنسي

Advertisements

الكاتب:

مهندس عربي يطمح و يساعد في الرقي بالمحتوي العربي للتكنولوجيا عبر ترجمة و اعداد مقالات و كتب علمية في مجال الشبكات و الإتصالات السلكية و اللاسلكية

اترك رد

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

WordPress.com Logo

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   /  تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   /  تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   /  تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   /  تغيير )

w

Connecting to %s