التأهيل وشهادة نظام إدارة إدارة أمن المعلومات ISO 27001

Information security management systems ISO/IEC 27000/2013

1.    نبذة عن النظام:

§       يضمن نظام إدارة أمن المعلومات ISO / IEC 27001 أن تحافظ منظمتك على أصول المعلومات آمنة ومأمونة ، من خلال بناء بنية تحتية لأمن المعلومات ضد مخاطر الخسارة أو الضرر أو أي تهديد آخر.

 

§       تؤكد المنظمات التي تحصل على شهادة ISO / IEC 27001 أن أمان المعلومات المالية أو الملكية الفكرية أو تفاصيل الموظف أو الأصول أو المعلومات الموكلة من أطراف ثالثة تتم إدارتها بنجاح وتحسينها باستمرار وفقًا لأفضل أساليب العمل والأجراءات.

 

2.    فوائد التأهيل والتطبيق والشهادة

2.1. فوائد داخلية للمنظمة:

§       إدارة و تقليل تأثير المخاطر المتعلقة بالأصول المعلوماتية من خلال تصميم أفضل الضوابط الداخلية وأكثرها اقتصادا ومناسبة لبيئة الأعمال

§       حماية الشركة ، والأصول ، والمساهمين و المديرين

§       المحافظة على أمن المعلومات السرية

§       تقليل تكلفة إعادة إنشاء قواعد البيانات و النظم الآلية في حالة الخسارة أو الاختراق.

§       ضمان استمرارية الأعمال في حالات الأزمات

§       تزويد العملاء وأصحاب المصالح بالثقة في كيفية إدارة المخاطر المرتبطة بالأصول المعلوماتية

§       السماح لتبادل آمن للمعلومات بين مواقع الشركة وعملائها وموظفيها

§        (CBK) والمرتبطة بالمحافظة على أمن و سرية بيانات العملاء

§       الحفاظ على الاتساق في تقديم الخدمة أو المنتج من خلال وضع سياسات و إجراءات موثقة على أساس تقييم المخاطر ووضع نظم لمعالجة المخاطر المحتملة

§       رفع مستوى الوعي بين الموظفين بشأن مفهوم إدارة أمن المعلومات

§       زيادة فعالية و كفاءة عملية أمن المعلومات وإدارتها، وبالتالي توفير الوقت والموارد من خلال تفعيل هندسة العمليات

§       بناء ثقافة الأمن.

§       التكامل بين العمليات التجارية وأمن المعلومات

§       مواءمة أمن المعلومات مع أهداف المنظمة

 

2.2. فوائد تنافسية وتسويقية:

§       السماح لضمان الوفاء بالتزاماتها القانونية والشروط التعاقدية مع العملاء ، وبالتالي الحد من المخاطر القانونية التى قد تنشأ من انتهاك السرية و تسرب البيانات

§       المساعدة على الامتثال لمتطلبات الجهات الرقابية مثل هيئة أسواق المال (CMA) ، والبنوك المركزية.

§       توفير ميزة تنافسية

§       تعزيز رضا العملاء الذي يحسن الاحتفاظ بالعملاء

§       يحافظ على أمان الملكية الفكرية والمعلومات القيمة

§       يؤمن تبادل المعلومات

 

3.    نطاق تطبيق نظام إدارة أمن المعلومات ISO 27001

§       إن المواصفة القياسية أيزو 27001:2013 بشأن أمن وسرية المعلومات تحدد المتطلبات لتأسيس وتطبيق وتشغيل ومراقبة ومراجعة وصيانة وتحسين المعلومات الموثقة في نظام إدارة المعلومات في سياق المخاطر الكلية التي يتعرض لها النشاط. كما تحدد متطلبات تطبيق ضوابط الأمن والسرية وفقاً لاحتياجات كل كيان أعمال على حدة.

 

4.    أمثلة للقطاعات الممكن تطبيق النظام عليها:

§       الشركات النفطية

§       الجهات الحكومية

§       البنوك والمؤسسات المالية

§       الشركات المساهمة العامة والمقفلة (بكافة قطاعاتها مثل شركات الاتصالات والمستشفيات إلخ)

§       شركات الأفراد والمؤسسات الفردية الكبيرة

§       جمعيات النفع العام

§       المنظمات الدولية والإقليمية

 

5.    خطوات التأهيل والتطبيق والمنح للنظام والشهادة:

§       إتخاذ القرار الاستراتيجى من قبل الادارة العليا بالمنظمة لإنشاء وتطبيق والحصول على شهادة الأيزو للنظام

§       التقدم بطلب خدمة الى مؤسسة التقنية

§       تقديم عرض فنى ومالى من مؤسسة التقنية الى منظمة العميل

§       توقيع عقد رسمى لتقديم الخدمة

§       تحليل الفجوة تبعا لمواصفة النظام وتطبيقه على المنظمة

§       التدريب وورش العمل

§       تحليل عمليات المنظمة

§       إنشاء الوثائق والاجراءات والمستدات الخاصة بالنظام

§       تطبيق النظام الموثق من قبل منظمة العميل

§       تنفيذ التدقيق الداخلى

§       مراجعة الادارة للنظام

§       التدقيق الخارجى

§       منح شهادة المطابقة للنظام من أحد الشركات المانحة لشهادات الأيزو

 

6.    مدة تنفيذ مشروع التأهيل للمنظمة

§       تتراوح فترة تنفيذ مشروع التأهيل من 3 أشهر الى سنة على حسب حجم المنظمة وتعقد العمليات فيها

 

7.    أعمال التدقيق الخارجى على المنظمة

§       مدة شهادة الأيزو 3 سنوات

§       تدقيق السنة الأولى : ويشمل التدقيق مرحلة أولى لمراجعة الوثائق والمستندات ومجال عمل المنظمة , تدقيق المرحلة الثانية ويشمل تطبيق النظام والتأكد من فاعلية التطبيق , التسجيل للمنظمة والتوصية بمنح شهادة الأيزو

§       تدقيق السنة الثانية : وهو تدقيق دورى للتأكد من إستمرارية التطبيق وفاعلية النظام

§       تدقيق السنة الثالثة : وهو تدقيق دورى للتأكد من إستمرارية التطبيق وفاعلية النظام

§       إعادة المنح لشهادة الأيزو : حيث بعد إنتهاء السنوات الثلاث تكون المنظمة بحاجة الى تجديد الشهادة وإعاد إجراءات منح شهادة الأيزو وبتكلفة مالية جديدة

 

8.    التكاليف المتوقعة لأعمال التأهيل والمنح لشهادة الأيزو:

§       تكلفة الجهة الإستشارية والتى تقوم بأعمال التأهيل والاعداد والتطبيق للنظام مع المنظمة

§       تكاليف تطوير العمليات أو تعيين موظفين جدد لبعض العمليات المدخلة على نظام المنظمة (ليست تكاليف الزامية)

§       تكلفة منح شهادة الأيزو من أحد شركات منح شهادة الأيزو والمعترف بها دوليا.

 

حمل نموذج نموذج طلب خدمة

للإستفسارات حول أعمالنا الاستشارية تواصل معنا