شهادات الأيزو في الشرق الأوسط
English
دليل شهادات الأيزو

شهادة ISO 27001 (نظام إدارة أمن المعلومات)

دليل عملي موجّه للتدقيق: نطاق ISMS، تقييم المخاطر، اختيار الضوابط، وبناء الأدلة — للقرار والتنفيذ.

اطلب دعم ISO 27001تصفح الشهادات

ما هو ISO 27001 (أكثر من قائمة إجراءات أمنية)

ISO 27001 معيار لنظام إدارة. لا يمنحك شهادة بأنك "غير قابل للاختراق" — بل يثبت أنك تدير أمن المعلومات بشكل منهجي: نطاق واضح، مخاطر مُقاسة، ضوابط مختارة بوعي، تشغيل ومراقبة، ومراجعة للفعالية.

أكبر تحدي غالبًا ليس كتابة السياسات؛ بل تحديد نطاق واقعي وبناء أدلة تثبت أن الضوابط مطبقة فعلًا.

قرارات النطاق التي تحدد نجاح مشروع ISO 27001

  • ما هي الوحدات/الخدمات/المواقع داخل نطاق ISMS.
  • ما هي الأصول المعلوماتية الأكثر حساسية (بيانات عملاء، ملكية فكرية، بيانات مالية… إلخ).
  • الأنظمة والخدمات السحابية داخل النطاق ومن يسيطر عليها.
  • واجهات الطرف الثالث: موردون، مزودو خدمات مُدارة، معالجو بيانات، بوابات دفع.

تقييم المخاطر وخطة المعالجة (المنطق الأساسي)

المدقق يتوقع مسارًا واضحًا من المخاطر إلى الضوابط:

  1. تحديد الأصول والتهديدات ذات الأثر على العمل.
  2. تقييم الاحتمالية والأثر بطريقة ثابتة.
  3. قرار المعالجة: تقليل، تجنب، نقل، أو قبول.
  4. اختيار الضوابط وتطبيقها بمالكين وأدلة.

أفضل المنهجيات هي التي يمكن تشغيلها باستمرار عند تغير الأنظمة والبنية.

الضوابط والأدلة (ما الذي يظهر في التدقيق؟)

الضوابط تختلف حسب النطاق، لكن أنماط الأدلة ثابتة:

  • التحكم في الوصول: سجلات انضمام/نقل/مغادرة، مراجعات صلاحيات دورية، مراقبة صلاحيات مميزة.
  • إدارة الأصول: جرد، ملكية، استخدام مقبول، دورة حياة.
  • إدارة التغيير: موافقات، اختبارات، خطط تراجع للأنظمة الحرجة.
  • إدارة الحوادث: استجابة، سجلات، دروس مستفادة، إجراءات تصحيح.
  • أمن الموردين: تقييم، بنود تعاقدية، متابعة أداء وتقارير حوادث.
  • استمرارية الأعمال: اختبارات نسخ احتياطي واسترجاع، قرارات RTO/RPO.
  • التوعية: تغطية تدريب، حملات مستهدفة، محاكاة تصيد عند الحاجة.

بيان القابلية للتطبيق (SoA): يجب أن يكون منطقيًا

SoA ليس إجراءً شكليًا. هو الخريطة التي تشرح أي الضوابط تطبقها ولماذا وكيف تُشغلها. أسهل طريق للفشل: ادعاء ضوابط بلا أدلة، أو حذف ضوابط بدون مبرر يمكن الدفاع عنه.

مراحل التدقيق وملاحظات شائعة

عادةً يوجد Stage 1 للجاهزية وStage 2 للتطبيق. من الملاحظات الشائعة: حدود نطاق غير واضحة، ضعف أدلة مراجعات الصلاحيات، قصور في متابعة الموردين، وتقييم مخاطر لا يعكس تغييرات البنية الفعلية.

شهادات مرتبطة

كثير من المؤسسات تدمج ISO 27001 مع ISO 9001 عند رغبتها في حوكمة موحدة للتشغيل والضمان.

ISO 9001 ISO 14001