جزء من سلسلة Compliance & Regulation
اقرأ الدليل الكاملتطبيق ISO 27001: نظام إدارة أمن المعلومات
يعد ISO 27001 هو معيار إدارة أمن المعلومات الأكثر شهرة في العالم، حيث حصلت عليه أكثر من 70.000 مؤسسة معتمدة عالميًا. على عكس اللوائح التوجيهية مثل اللائحة العامة لحماية البيانات (GDPR) أو PCI DSS، يوفر ISO 27001 إطارًا قائمًا على المخاطر لإدارة أمن المعلومات المنهجية - قابل للتكيف مع المؤسسات من أي حجم أو صناعة أو منطقة جغرافية. تشير شهادة ISO 27001 الصالحة إلى العملاء والشركاء والمنظمين وشركات التأمين إلى أن مؤسستك تدير مخاطر أمن المعلومات من خلال نظام إدارة منظم ومدقق ومتطور باستمرار.
الإصدار الحالي هو ISO/IEC 27001:2022، المنشور في أكتوبر 2022، والذي حل محل ISO/IEC 27001:2013. كان أمام المؤسسات الحاصلة على شهادات 2013 مهلة حتى 31 أكتوبر 2025 للانتقال إلى إصدار 2022. يتم إصدار جميع الشهادات الجديدة مقابل عام 2022.
الوجبات الرئيسية
- ISO 27001:2022 خفضت ضوابط الملحق أ من 114 إلى 93، وأعيد تنظيمها إلى أربعة مواضيع: تنظيمية (37)، أشخاص (8)، مادية (14)، تكنولوجية (34)
- تتضمن الضوابط الجديدة لعام 2022 ما يلي: معلومات التهديدات، واستعداد تكنولوجيا المعلومات والاتصالات لاستمرارية الأعمال، ومراقبة الأمن المادي، والتشفير الآمن، وتصفية الويب، ومنع فقدان البيانات، وإخفاء البيانات
- يجب تحديد نطاق نظام ISMS (نظام إدارة أمن المعلومات) وتوثيقه وتقييم مخاطره واعتماده من قبل هيئة اعتماد معتمدة
- تتطلب الشهادة ما يلي: المرحلة 1 (مراجعة الوثائق) والمرحلة 2 (تدقيق التنفيذ) - عادة ما بين 3 إلى 6 أشهر من الاستعداد إلى الشهادة
- التحسين المستمر إلزامي: عمليات تدقيق داخلية ربع سنوية، ومراجعة إدارية سنوية، ودورة اعتماد مدتها ثلاث سنوات مع عمليات تدقيق مراقبة سنوية
- بيان قابلية التطبيق (SoA) هو الوثيقة المهمة التي تربط قرارات معالجة المخاطر الخاصة بك بضوابط الملحق أ
- أصبحت شهادة ISO 27001 مطلوبة بشكل متزايد للمشتريات العامة في الاتحاد الأوروبي، ومبيعات المؤسسات، واكتتاب التأمين
الهيكل الإطاري ISO 27001
يتبع ISO 27001:2022 الهيكل عالي المستوى (HLS) - الإطار المشترك الذي تشترك فيه جميع معايير نظام إدارة ISO (ISO 9001، ISO 14001، ISO 22301، وما إلى ذلك). يتيح ذلك أنظمة إدارة متكاملة للمؤسسات التي تطبق معايير ISO متعددة في وقت واحد.
البنود الرئيسية (4-10) – المتطلبات الإلزامية:
| بند | الموضوع |
|---|---|
| 4. سياق المنظمة | فهم السياق الداخلي/الخارجي والأطراف المعنية والنطاق |
| 5. القيادة | التزام الإدارة العليا، سياسة ISMS، الأدوار والمسؤوليات |
| 6. التخطيط | تقييم المخاطر، معالجة المخاطر، بيان التطبيق، الأهداف |
| 7. الدعم | الموارد، الكفاءة، الوعي، التواصل، المعلومات الموثقة |
| 8. العملية | تنفيذ معالجة المخاطر والتخطيط التشغيلي والسيطرة |
| 9. تقييم الأداء | المراقبة، القياس، التدقيق الداخلي، مراجعة الإدارة |
| 10. التحسين | حالات عدم المطابقة، الإجراءات التصحيحية، التحسين المستمر |
الملحق أ — أهداف المراقبة المرجعية: 93 عنصر تحكم عبر أربعة موضوعات تمثل أفضل ممارسات الضوابط الأمنية. تحدد SoA ضوابط الملحق أ التي تنطبق على نطاق ISMS الخاص بك.
الخطوة 1 — تحديد نطاق ISMS
يحدد النطاق حدود نظام إدارة أمن المعلومات (ISMS) الخاص بك — ما يتم تضمينه وما يتم استبعاده. تؤثر قرارات النطاق بشكل أساسي على تكلفة الشهادة وتعقيدها.
اعتبارات تعريف النطاق:
- الحدود الجغرافية: مكاتب محددة، مراكز البيانات، العاملين عن بعد
- الحدود التنظيمية: وحدات عمل أو إدارات أو شركات تابعة محددة
- أصول المعلومات في النطاق: أنظمة محددة، ومجموعات البيانات، والعمليات
- واجهات مع أنظمة خارج النطاق وأطراف ثالثة
أساليب تحديد النطاق الشائعة:
النطاق الضيق: يغطي فقط الأنظمة والعمليات المرتبطة مباشرة بقطاع أو منتج معين من العملاء. أسرع وأرخص في التصديق ولكن قيمة الضمان محدودة للعملاء.
نطاق واسع: يغطي المؤسسة بأكملها. أقصى قدر من الضمان ولكن أعلى تكلفة التنفيذ.
نطاق الخدمة المستضافة على السحابة: بالنسبة لشركات SaaS، يغطي النطاق عادةً البنية التحتية السحابية ورمز التطبيق والعمليات التشغيلية التي تدعم الخدمة - مع الاستفادة من شهادات SOC 2/ISO 27001 لموفر الخدمة السحابية لعناصر التحكم المادية والبنية التحتية.
يجب توثيق النطاق وإدراجه في وثائق الشهادة. سيقوم المدققون باختبار عناصر التحكم ضمن حدود النطاق والتحقق من الواجهات التي تحتوي على عناصر خارج النطاق.
الخطوة الثانية – تقييم مخاطر أمن المعلومات
تقييم المخاطر (البند 6.1.2) هو الأساس المنهجي للمعيار ISO 27001. ويتطلب المعيار عملية موثقة لتقييم المخاطر والتي:
- إنشاء وتطبيق عملية تقييم مخاطر أمن المعلومات
- يحدد المخاطر المرتبطة بفقدان السرية والنزاهة وتوافر المعلومات ضمن نطاق نظام إدارة أمن المعلومات (ISMS).
- تحليل وتقييم المخاطر
نهج تقييم المخاطر القائم على الأصول:
- جرد الأصول: أدرج جميع أصول المعلومات ضمن النطاق (الأنظمة، وقواعد البيانات، والمستندات المادية، والأشخاص، والعمليات، وخدمات الطرف الثالث)
- تحديد التهديدات: بالنسبة لكل أصل، حدد التهديدات المحتملة (الهجوم الخارجي، التهديد الداخلي، الحذف العرضي، فشل الأجهزة، الكوارث الطبيعية، إلخ.)
- تحديد الثغرات الأمنية: تحديد الثغرات الأمنية التي يمكن أن تستغلها التهديدات (البرامج غير المصححة، وكلمات المرور الضعيفة، ونقص عناصر التحكم في الوصول، وما إلى ذلك)
- تقييم التأثير: بالنسبة لكل مجموعة من التهديدات/نقاط الضعف، قم بتقييم التأثير المحتمل على السرية والنزاهة والتوافر باستخدام مقياس محدد (على سبيل المثال، 1-5)
- تقييم الاحتمالية: قم بتقييم احتمالية استغلال التهديد للثغرة الأمنية باستخدام مقياس محدد
- تصنيف المخاطر: حساب المخاطر = التأثير × الاحتمالية. وضع معايير لقبول المخاطر (على سبيل المثال، المخاطر التي تتجاوز درجة معينة تتطلب العلاج)
تنسيق سجل المخاطر:
| الأصول | التهديد | الضعف | التأثير | احتمال | درجة المخاطرة | علاج |
|---|---|---|---|---|---|---|
| قاعدة بيانات العملاء | حقن SQL | مدخلات لم يتم التحقق منها | 5 | 3 | 15 | التخفيف (WAF + التحقق من صحة الإدخال) |
| أجهزة كمبيوتر محمولة للموظفين | سرقة | لا يوجد تشفير القرص | 4 | 2 | 8 | تخفيف (تشفير القرص بالكامل) |
| خادم الإنتاج | الفدية | لا يوجد نسخة احتياطية دون اتصال | 5 | 2 | 10 | تخفيف (النسخ الاحتياطي دون اتصال + EDR) |
الخطوة 3 — خطة معالجة المخاطر وبيان قابلية التطبيق
لكل خطر أعلى من حد القبول الخاص بك، حدد خيار معالجة المخاطر:
- التخفيف: تنفيذ الضوابط الأمنية للحد من المخاطر
- قبول: توثيق قبول المخاطر (عادةً للمخاطر منخفضة التأثير ومنخفضة الاحتمال)
- النقل: نقل المخاطر إلى طرف ثالث (التأمين، الاستعانة بمصادر خارجية)
- تجنب: توقف عن النشاط الذي يولد الخطر
بيان قابلية التطبيق (SoA): وثيقة الامتثال المركزية. بالنسبة لكل عنصر من عناصر التحكم في الملحق أ البالغ عددها 93، تسجل SOA ما يلي:
- ما إذا كان عنصر التحكم قابلاً للتطبيق على نطاقك
- ما إذا كان يتم تنفيذه حاليا
- مبررات الإدراج أو الاستبعاد
إن SoA هو ما يقوم المدققون بفحصه عن كثب. ويجب أن يكون كل استبعاد مبرراً، وأن يكون مبرراً بشكل مقنع. الاستثناءات المشروعة الشائعة: ضوابط الأمان المادي للمؤسسات السحابية فقط (مراكز البيانات التي يديرها موفر السحابة)، وضوابط إدارة الموردين في حالة عدم وجود علاقات مهمة مع طرف ثالث.
الخطوة 4 — تنفيذ ضوابط الملحق أ
ينظم الملحق أ ISO 27001:2022 93 عنصر تحكم في أربعة موضوعات. الضوابط الرئيسية للمنظمات ذات التوجه التكنولوجي:
الضوابط التنظيمية (37 ضوابط)
تشمل الضوابط الرئيسية ما يلي:
- 5.1 سياسات أمن المعلومات: سياسة أمنية موثقة ومعتمدة ومعلن عنها وسياسات خاصة بالموضوع
- 5.2 أدوار ومسؤوليات أمن المعلومات: تحديد دور رئيس أمن المعلومات/ضابط الأمن؛ المسؤوليات الأمنية الموثقة
- 5.7 معلومات التهديدات (جديد في عام 2022): جمع وتحليل معلومات التهديدات ذات الصلة بالمؤسسة
- 5.9 جرد المعلومات والأصول الأخرى المرتبطة بها: الاحتفاظ بمخزون الأصول مع الملكية
- 5.15 التحكم في الوصول: سياسة التحكم في الوصول؛ الأقل امتيازا؛ إجراءات إدارة الوصول الرسمية
- 5.16 إدارة الهوية: إدارة دورة حياة الهوية الكاملة (التزويد، التعديل، إلغاء التوفير)
- 5.17 معلومات المصادقة: سياسة وإجراءات إدارة كلمة المرور/المصادقة
- 5.20 معالجة الأمن ضمن اتفاقيات الموردين: متطلبات الأمان في العقود المبرمة مع الموردين والشركاء
- 5.23 أمن المعلومات لاستخدام الخدمات السحابية (جديد في عام 2022): سياسات أمان السحابة، واختيار الخدمة السحابية، والمراقبة
عناصر التحكم في الأشخاص (8 عناصر تحكم)
- 6.1 الفحص: فحص الخلفية قبل وأثناء التوظيف
- 6.2 شروط وأحكام التوظيف: المصطلحات المتعلقة بالأمن في عقود العمل
- 6.3 الوعي والتعليم والتدريب في مجال أمن المعلومات: برنامج تدريب سنوي، تدريب خاص بالأدوار، محاكاة التصيد الاحتيالي
- 6.4 العملية التأديبية: العملية الرسمية لانتهاكات السياسة الأمنية
- 6.6 اتفاقيات السرية أو عدم الإفصاح: اتفاقيات عدم الإفشاء مع الموظفين والمقاولين
الضوابط المادية (14 الضوابط)
- 7.1 محيطات الأمان المادية: محيطات أمنية محددة؛ التحكم في الوصول إلى المناطق الآمنة
- 7.4 مراقبة الأمن المادي (جديد في عام 2022): الدوائر التلفزيونية المغلقة، وكشف التسلل، وسجلات الوصول
- 7.7 مكتب واضح وشاشة واضحة: السياسة والتنفيذ؛ أقفال الشاشة؛ مكتب نظيف في نهاية اليوم
- 7.10 وسائط التخزين: إدارة الوسائط القابلة للإزالة؛ التخلص الآمن
الضوابط التكنولوجية (34 الضوابط)
- 8.2 حقوق الوصول المميزة: إدارة الحساب المميز؛ الوصول في الوقت المناسب؛ مراقبة الجلسات المميزة
- 8.4 الوصول إلى كود المصدر: وصول مقيد إلى كود المصدر؛ متطلبات مراجعة الكود
- 8.5 المصادقة الآمنة: MFA؛ بروتوكولات المصادقة الآمنة
- 8.7 الحماية ضد البرامج الضارة: مكافحة البرامج الضارة على جميع نقاط النهاية؛ تصفية البريد والويب
- 8.8 إدارة الثغرات التقنية: فحص الثغرات الأمنية؛ الترقيع جيش تحرير السودان؛ اختبار الاختراق
- 8.9 إدارة التكوين (جديد في عام 2022): خطوط الأساس الأمنية الموثقة؛ عمليات إدارة التكوين
- 8.10 حذف المعلومات (جديد في عام 2022): الحذف الآمن عند عدم الحاجة إليه
- 8.11 إخفاء البيانات (جديد في عام 2022): إخفاء البيانات الحساسة في البيئات غير الإنتاجية
- 8.12 منع تسرب البيانات (جديد في عام 2022): أدوات منع فقدان البيانات (DLP) لمنع تسرب البيانات غير المصرح به
- 8.15 التسجيل: تسجيل شامل للتدقيق؛ حماية السجل؛ مراجعة السجل
- 8.16 أنشطة المراقبة (جديد في عام 2022): مراقبة الشبكة والنظام؛ سيم
- 8.23 تصفية الويب (جديد في عام 2022): تصفية محتوى الويب للحماية من المحتوى الضار
- 8.25 دورة حياة التطوير الآمنة: سياسة SDLC الآمنة؛ متطلبات الأمن في التنمية؛ مراجعة الكود؛ ساست/داست
- 8.26 متطلبات أمان التطبيق: تعريف متطلبات الأمان للتطبيقات الجديدة والمحسنة
- 8.27 بنية النظام الآمن والمبادئ الهندسية (جديد في عام 2022): الأمان حسب التصميم؛ الدفاع في العمق
- 8.28 التشفير الآمن (جديد في عام 2022): معايير التشفير الآمن؛ مراجعة الكود؛ تحليل ثابت
- 8.29 اختبار الأمان في التطوير والقبول: اختبار الأمان كجزء من SDLC؛ اختبار الاختراق قبل البث المباشر
- 8.34 حماية أنظمة المعلومات أثناء اختبار التدقيق: تنسيق أنشطة التدقيق لتقليل التعطيل
الخطوة 5 – التوثيق والسجلات
يتطلب ISO 27001 معلومات موثقة محددة (السياسات والسجلات). الحد الأدنى لمجموعة الوثائق:
الوثائق الإلزامية:
- وثيقة نطاق ISMS
- سياسة أمن المعلومات
- منهجية تقييم مخاطر أمن المعلومات
- سجل المخاطر وخطة معالجة المخاطر
- بيان الانطباق
- برنامج وتقارير التدقيق الداخلي
- سجلات مراجعة الإدارة
- سجلات التدريب والتوعية
السياسات الموصى بها الخاصة بالموضوع:
- سياسة التحكم في الوصول
- سياسة الاستخدام المقبول
- سياسة إدارة الأصول
- استمرارية الأعمال وسياسة DR
- تغيير سياسة الإدارة
- التشفير وسياسة الإدارة الرئيسية
- سياسة الاستجابة للحوادث
- سياسة العمل عن بعد
- سياسة أمن الموردين
- سياسة إدارة الضعف
الخطوة السادسة – برنامج التدقيق الداخلي
يتطلب البند 9.2 برنامجًا للتدقيق الداخلي يتم إجراؤه على فترات زمنية مخططة يغطي جميع متطلبات نظام إدارة أمن المعلومات (ISMS) وضوابط الملحق أ. يجب أن يتمتع المدققون الداخليون بالكفاءة والموضوعية (وليس بمراجعة أعمالهم الخاصة).
منهج التدقيق الداخلي:
- خطة التدقيق الداخلي السنوية التي تغطي جميع بنود نظام إدارة المعلومات (ISMS) وجميع ضوابط الملحق (أ) المعمول بها خلال دورة محددة
- أخذ العينات على أساس المخاطر: إجراء الاختبار بشكل متكرر في المناطق الأكثر عرضة للخطر
- توثيق جمع الأدلة وتسجيل عدم المطابقة
- تقرير إلى الإدارة. تتبع الإجراءات التصحيحية للإغلاق
يجب أن يكون المدققون الداخليون معتمدين (ISO 27001 كبير المدققين أو تدريب المدققين الداخليين) من أجل المصداقية. تستخدم العديد من المؤسسات نهج القسم الثاني (أمن تدقيق تكنولوجيا المعلومات، وتدقيق أمن تكنولوجيا المعلومات) أو الاستعانة بشركة خارجية لتحقيق الموضوعية.
الخطوة 7 – مراجعة الإدارة
يتطلب البند 9.3 من الإدارة العليا مراجعة نظام إدارة أمن المعلومات (ISMS) على فترات زمنية مخططة (عادة سنويًا). يجب أن تغطي مراجعة الإدارة ما يلي:
- حالة الإجراءات من المراجعات السابقة
- التغييرات في القضايا الخارجية والداخلية ذات الصلة بنظام إدارة أمن المعلومات
- ردود الفعل على أداء نظام إدارة أمن المعلومات (الحوادث الأمنية، نتائج التدقيق، المراقبة، مؤشرات الأداء الرئيسية)
- ردود الفعل من الأطراف المعنية
- نتائج تقييم المخاطر وحالة خطة علاج المخاطر
- فرص للتحسين المستمر
مخرجات مراجعة الإدارة: قرارات بشأن فرص التحسين المستمر، وتغييرات نظام إدارة أمن المعلومات (ISMS)، واحتياجات الموارد.
عملية إصدار الشهادات
اختر هيئة اعتماد: يجب أن تكون معتمدة من قبل هيئة اعتماد وطنية (UKAS في المملكة المتحدة، DAkkS في ألمانيا، ANAB في الولايات المتحدة، JAS-ANZ في أستراليا/نيوزيلندا). تحقق من اعتراف IAF بالقبول العالمي.
تدقيق المرحلة الأولى (مراجعة الوثائق): يقوم المدقق بمراجعة وثائق نظام إدارة أمن المعلومات (ISMS) - النطاق، وSoA، وتقييم المخاطر، والسياسات - لتأكيد الاستعداد للمرحلة الثانية. عادةً ما يستغرق ذلك من يوم إلى يومين. المخرجات: قائمة النتائج/الفجوات التي يجب معالجتها قبل المرحلة الثانية.
معالجة الثغرات: معالجة نتائج المرحلة الأولى. قد يستغرق الأمر من 4 إلى 8 أسابيع اعتمادًا على الفجوات المحددة.
تدقيق المرحلة الثانية (تدقيق التنفيذ): تدقيق في الموقع (أو عن بعد) للتنفيذ الفعلي لنظام إدارة أمن المعلومات (ISMS). يقوم المدققون باختبار الضوابط، وإجراء مقابلات مع الموظفين، ومراجعة سجلات الأدلة. عادةً ما يستغرق الأمر من 3 إلى 10 أيام تدقيق اعتمادًا على النطاق وحجم المؤسسة. يجب معالجة حالات عدم المطابقة (الكبيرة أو الثانوية).
قرار الاعتماد: تصدر هيئة منح الشهادات شهادة ISO 27001:2022 صالحة لمدة 3 سنوات. تتضمن الشهادة بيان النطاق.
عمليات تدقيق المراقبة: عمليات تدقيق المراقبة السنوية في العامين الأول والثاني من دورة الشهادة (لمسة أخف من تدقيق الشهادة). يغطي تدقيق إعادة الاعتماد في السنة الثالثة نظام إدارة أمن المعلومات (ISMS) بالكامل.
قائمة مراجعة تنفيذ ISO 27001
- تحديد نطاق ISMS وتوثيقه
- سياسة أمن المعلومات معتمدة من الإدارة العليا
- منهجية تقييم المخاطر موثقة ومطبقة
- سجل المخاطر مكتمل بتصنيفات المخاطر لجميع المخاطر الهامة
- وضع خطة معالجة المخاطر لجميع المخاطر غير المقبولة
- تم استكمال بيان التطبيق لجميع ضوابط الملحق أ البالغ عددها 93
- تم تنفيذ جميع ضوابط الملحق أ المعمول بها
- مجموعة الوثائق كاملة (السياسات، الإجراءات، السجلات)
- تم إنشاء برنامج التدقيق الداخلي وإكمال أول عملية تدقيق
- تتبع الإجراءات التصحيحية من التدقيق الداخلي حتى الإغلاق
- اكتملت مراجعة الإدارة بالسجلات
- تم الانتهاء من التدريب على الوعي الأمني للموظفين وتوثيقه
- تم اختيار هيئة إصدار الشهادات المعتمدة وتحديد موعد تدقيق المرحلة الأولى
- تم تناول نتائج المرحلة الأولى
- تم الانتهاء من تدقيق شهادة المرحلة الثانية
الأسئلة المتداولة
ما المدة التي يستغرقها تطبيق ISO 27001؟
بالنسبة لشركة تكنولوجيا متوسطة الحجم تبدأ من خط أساس أمني معقول، يستغرق التنفيذ عادةً من 6 إلى 12 شهرًا من البداية إلى الشهادة. قد تحصل المنظمات التي تتمتع بممارسات أمنية ناضجة على الشهادة خلال 4 إلى 6 أشهر. قد تستغرق المؤسسات الكبيرة ذات النطاق المعقد أو المواقع المتعددة أو الوثائق القديمة الشاملة من 12 إلى 18 شهرًا. المحركات الرئيسية للجدول الزمني: تعقيد النطاق، ونضج التوثيق الحالي، وتوافر الموارد، وجدولة هيئة إصدار الشهادات.
ما الفرق بين ISO 27001 وISO 27002؟
ISO 27001 هو معيار نظام الإدارة الذي يتم بموجبه اعتماد المؤسسات - وهو يحدد متطلبات إنشاء نظام إدارة أمن المعلومات (ISMS) وتنفيذه وصيانته وتحسينه. ISO 27002 عبارة عن وثيقة إرشادية تقدم نصائح بشأن أفضل الممارسات بشأن تنفيذ كل من ضوابط الملحق أ البالغ عددها 93. يحتوي ملحق ISO 27001 أ على الضوابط (المعيارية)؛ يشرح ISO 27002 كيفية تنفيذها (معلوماتيًا). شهادة ISO 27001 هي الشرط؛ ISO 27002 هو دليل التنفيذ. لا يمكن أن تكون "معتمدًا ISO 27002" - توجد شهادة ISO 27001 فقط.
هل يمكننا الحصول على شهادة ISO 27001 لجزء فقط من مؤسستنا؟
نعم — يسمح معيار ISO 27001 بنطاق الخدمة أو خط الإنتاج أو القسم أو الموقع المحدد. قد تقوم شركة SaaS بتوسيع نطاق شهادة ISO 27001 الخاصة بها لتشمل منصة منتجاتها المستضافة على السحابة باستثناء أنظمة الموارد البشرية والتمويل في المكاتب الخلفية. ستحدد شهادة الشهادة النطاق، ويفهم العملاء والمدققون أن الضوابط تنطبق ضمن حدود النطاق المعلنة. ويعني النطاق الضيق الحصول على شهادة أسرع وأرخص ولكنه يوفر ضمانًا أقل للعملاء الذين يريدون الثقة عبر مؤسستك بأكملها.
كيف يختلف ISO 27001 عن SOC 2؟
كلاهما يتناول أمن المعلومات ولكن من أطر وجماهير مختلفة. ISO 27001 هو معيار دولي لنظام الإدارة ينتج شهادة مدتها ثلاث سنوات؛ يتم إجراء عمليات التدقيق من قبل هيئات إصدار الشهادات المعتمدة؛ ومن المعترف به على نطاق واسع في المشتريات في أوروبا وآسيا والمحيط الهادئ والشرق الأوسط. SOC 2 هو إطار تصديق أمريكي المنشأ ينتج تقريرًا (النوع الأول أو النوع الثاني) تتم مراجعته من قبل مدققي العملاء؛ ويركز على معايير خدمة الثقة؛ وهو مطلوب في الغالب من قبل المشترين من الشركات الأمريكية. الضوابط تتداخل إلى حد كبير. تسعى العديد من المؤسسات إلى تحقيق كليهما – SOC 2 لمبيعات المؤسسات الأمريكية، وISO 27001 للمشتريات الدولية والحكومية.
ما هي التغييرات الرئيسية في ISO 27001:2022 مقارنة بعام 2013؟
التغييرات الرئيسية: (1) إعادة هيكلة الملحق أ من 14 فئة/114 عنصر تحكم إلى 4 مواضيع/93 عنصر تحكم؛ (2) تمت إضافة 11 عنصر تحكم جديدًا: معلومات التهديدات، واستعداد تكنولوجيا المعلومات والاتصالات لاستمرارية الأعمال، ومراقبة الأمن المادي، وإدارة التكوين، وحذف المعلومات، وإخفاء البيانات، ومنع تسرب البيانات، وأنشطة المراقبة، وتصفية الويب، والتشفير الآمن، وأمن المعلومات للخدمات السحابية؛ (3) لم يتم حذف أي ضوابط - تم دمج الضوابط الحالية وإعادة تنظيمها؛ (4) أضاف البند 6.3 "تخطيط التغييرات" لتغييرات ISMS المُدارة؛ (5) تحديثات الصياغة في جميع أنحاء من أجل الوضوح. لم يتغير الهيكل الأساسي لنظام الإدارة (البنود 4-10) إلى حد كبير.
كم تبلغ تكلفة شهادة ISO 27001؟
يختلف إجمالي التكاليف بشكل كبير حسب حجم المؤسسة ونطاقها: رسوم تدقيق هيئة الاعتماد: 8000 دولار - 50000 دولار + اعتمادًا على النطاق وأيام التدقيق؛ الاستشارات (اختيارية): 30,000 - 150,000 دولار أمريكي للمساعدة في التنفيذ؛ وقت الموظفين الداخليين: أكثر من 200-1000 ساعة في التنفيذ والتوثيق؛ الأدوات (منصة GRC، وفحص الثغرات الأمنية، وSIEM): 10000 دولار - 100000 دولار سنويًا؛ عمليات تدقيق المراقبة السنوية: حوالي 30-50% من تكلفة المرحلة الثانية. يمكن للمؤسسات الصغيرة ذات النطاق الضيق الحصول على شهادة بمبلغ إجمالي يتراوح بين 40.000 إلى 80.000 دولار. تستثمر المؤسسات متوسطة الحجم عادةً ما بين 100000 إلى 300000 دولار في دورة الاعتماد الأولى.
الخطوات التالية
تعد شهادة ISO 27001 استثمارًا استراتيجيًا يؤتي ثماره من خلال تعزيز ثقة العملاء، وتسريع مبيعات المؤسسات، وانخفاض أقساط التأمين السيبراني، وتحسين الأمن المنظم. بالنسبة لشركات التكنولوجيا، يوفر تطبيق ISO 27001 جنبًا إلى جنب مع SOC 2 تغطية عالمية شاملة لمتطلبات أمان المشتري في المؤسسة.
يساعد فريق ECOSIRE شركات التكنولوجيا على تنفيذ برامج إدارة الأمان المتوافقة مع ISO 27001، مع الخبرة في تنفيذ التحكم الفني عبر البيئات السحابية، وأمن التطبيقات، وتقديم الخدمات المُدارة.
البدء: خدمات ECOSIRE
- إخلاء المسؤولية: هذا الدليل لأغراض إعلامية فقط. ينبغي تأكيد متطلبات شهادة ISO 27001 من خلال هيئة إصدار الشهادات المعتمدة. تختلف متطلبات التنفيذ المحددة حسب حجم المؤسسة ونطاقها ومجال عملها.*
بقلم
ECOSIRE Research and Development Team
بناء منتجات رقمية بمستوى المؤسسات في ECOSIRE. مشاركة رؤى حول تكاملات Odoo وأتمتة التجارة الإلكترونية وحلول الأعمال المدعومة بالذكاء الاصطناعي.
مقالات ذات صلة
Case Study: Manufacturing ERP Implementation with Odoo 19
How a Pakistani auto-parts manufacturer cut order processing time by 68% and reduced inventory variance to under 2% with ECOSIRE's Odoo 19 implementation.
Agricultural ERP Implementation: Field to Market Integration
Step-by-step agricultural ERP implementation guide covering field management setup, precision agriculture integration, food safety compliance, and harvest logistics.
Automotive ERP Implementation: Dealer, OEM, and Aftermarket
Step-by-step automotive ERP implementation guide covering dealer operations, OEM manufacturing integration, aftermarket distribution, and parts management configuration.
المزيد من Compliance & Regulation
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.