أكدّت TÜV AUSTRIA مؤخرًا على توافق نظام إدارة أمن المعلومات الذي نطبقه باستخدام البنية الأساسية لشبكة أمان Kaspersky (KSN) مع معيار ISO/IEC 27001:2013 فيما يتعلق باكتشاف الملفات الضارة والمشبوهة. كما أكّدت TÜV أيضًا على أمان التخزين والوصول لهذه الملفات في نظام الملفات الموزَّعة في مختبر Kaspersky (KLDFS). وفيما يلي كل ما تختص به شهادة اعتماد ISO/IEC 27001:2013.
ما هو ISO 27001؟
ISO 27001 هو معيار دولي مختص بمتطلبات إنشاء نظم إدارة أمن المعلومات وصيانتها وتطويرها. وهو بشكلٍ أساسي مجموعة من أفضل الممارسات التي تتناول تدابير إدارة الأمن لحماية المعلومات وضمان حماية العملاء لبياناتهم.
ولإصدار الاعتمادات، يرسل كيان مستقل مدققين -في حالتنا هم، TÜV AUSTRIA -وهدفهم الرئيسي التحقق من مدى امتثال العمليات التي توفر الأمان عبر الإنترنت لأفضل الممارسات. وأثناء التدقيق، يقيّمون العمليات في مختلف الإدارات بما في ذلك الموارد البشرية وتكنولوجيا المعلومات والبحث والتطوير والأمن، ويصدرون تقريرًا شاملًا، يحلله الخبراء المستقلون الآخرون للتأكد من حيادية المدققين. أخيرًا، تصدر المنظمة المستقلة اعتمادًا يؤكد في حالتنا أن نظام إدارة أمن المعلومات يتوافق مع أفضل الممارسات.
ما “المعتمد”؟
يهتم عملاؤنا في المقام الأول بما إذا كنا نوفر أعلى مستوى ممكن من الأمان لعمليات اكتشاف الكائنات (الملفات) الضارة والمشبوهة عن طريق إجراء خبرائنا لتحليل تلقائي ويدوي إضافي، وما إذا كنا نقوم بعد ذلك بتخزين هذه الكائنات بشكلٍ موثوق. وهذا أمر جوهري لأي شركةٍ برامج مكافحة الفيروسات. لذلك، تابعنا اعتماد آليات اكتشاف الملفات الضارة والمشبوهة باستخدام البنية الأساسية لشبكة أمان Kaspersky وتخزينها الآمن في نظام الملفات الموزَّعة في مختبر Kaspersky. ومع ذلك، لم يبحث المدققون في هذا الأمر فقط. يتم ترتيب العديد من الخدمات في الشركة بطريقةٍ مماثلة.
تؤثر العديد من العوامل على سلامة أي عملية ويمكن أن تساعد أنظمة إدارة أمن المعلومات في تحديد تلك العوامل وتوفير الحماية في الوقت المناسب. يمكن اعتبار العديد من الأسئلة في إدارة الأمان عبر الإنترنت أساسية. مَن لديه إمكانية الوصول إلى نظم المعلومات والبيانات الهامة؟ كيف تمت عملية تقدمهم للوظيفة؟ كيف يعمل الموظفون مع الوثائق وأنظمة المعلومات؟ كيف يتعامل فريق الأمن مع إبطال حقوق الوصول عندما يغادر موظف؟ ما مدى وعي الموظفين بالتهديدات الإلكترونية المحتملة ووسائل الحماية ضدها؟ كيف يعمل المسؤولون مع أجهزة الكمبيوتر التي تدير عمليات حرجة؟
ينظر نظام الحماية أيضًا في أنواع جديدة من التهديدات والرد المعاكس، على سبيل المثال، الحماية من هجمات APT ومواجهة المخاطر المحتملة لاستخدام التكنولوجيات الجديدة، بما في ذلك استخدام خوارزميات التعلم الآلي.
مع مراعاة ما سبق، قام المدققون بتحليل الوثائق والتحدث مع الموظفين من مختلف الإدارات وتحليل الجوانب التقنية والتنظيمية لحماية البيانات، مثل عمليات التوظيف والفصل والتدريب. لقد درسوا كيف تحافظ خدمة تكنولوجيا المعلومات على شبكة الشركة وزاروا مراكز البيانات الخاصة بنا. كما شاهدوا أيضًا كيفية عمل الموظفين وتحققوا مما إذا كانوا يتركون المستندات المطبوعة والوسائط القابلة للإزالة الموجودة حول المكتب، وما إذا كانوا قد أغلقوا أجهزة الكمبيوتر الخاصة بهم عندما يكونون بعيدًا عن مكاتبهم، وكذلك ما تعرضه الشاشات ولوحات المعلومات وأنواع البرامج التي استخدموها في العمل. ويمكن القول إنهم قاموا بتحليل الممارسات التي تنطبق على الشركة بأكملها، مع إيلاء اهتمام خاص للتحقق من عمليات نظام إدارة أمن المعلومات: تحليل الإدارة للأمن وإدارة المخاطر وإدارة الحوادث والإجراءات التصحيحية ومراجعة الحسابات وضمان وعي الموظفين بالأمان عبر الإنترنت والحفاظ على استمرارية العمل.
وماذا بعد؟
الآن، يمكن للعملاء المهتمين التعرف على الاعتماد، والتي تمثل رأي الخبراء المستقلين. تُطرح الأسئلة حول شهادة اعتماد ISO 27001 بشكلٍ متكرر، خاصةً عندما تختار شركة تجارية موفر أمان، لأن الخدمات المعتمدة موجودة في معظم حلولنا.
العمل لا يتوقف هنا. ونعيد الحصول على شهادة اعتماد التأهيل كل ثلاث سنوات. وهذا يعني المزيد من عمليات التدقيق لإثبات استحقاق الاعتماد. بالإضافة إلى ذلك، يجري المدققون معاينات عشوائية سنوياً.
يمكنك العثور على معلومات إضافية حول الاعتماد على