هناك مجموعة واسعة من متطلبات الامتثال ومعايير أمن المعلومات. لكننا في هذا المقال نركز على شهادتين أساسيتين في مجال SaaS و B2B و هما SOC 2 و ISO 27001. تؤشر هذه الشهادات أنك تطبق الممارسات الجيدة في عملك. غالباً ما يتم تصنيفها على أنها تتعلق بالأمن التقني لأنظمتك و لكن الحقيقة أن نطاق تغطيتها أوسع من ذلك. تركز هذه المعايير على الممارسات التنظيمية التي تدعم الأمن وأهدافك الأخرى. يتضمن ذلك التوافر (مرونة النظام) ، وسرية البيانات ، والخصوصية للمستخدمين ، وسلامة أهداف معالجة النظام ، ولاستعداد التشغيلي لدعم عملاء الأعمال المهمين.
لذا ، قبل أن نتطرق إلى أيهما تختار وكيف ولماذا ، دعنا نستعرض بسرعة الفوائد الرئيسية لهذه الشهادات من وجهة نظر العمل وفقاً لترتيب cybersecurity.att.
فوائد معايير أمن المعلومات
تساعد هذه الشهادات في بناء الثقة بالعلامة التجارية تطوير المبيعات. سيرغب العميل باستخدام منتجاتك ، ويأخذ في الاعتبار جودة هذا المنتج وقدراتك كمؤسسة. تلعب هذه المؤهلات دوراً أساسياً في إثبات أن خدماتك قد تم بناءها لتحقق متطلبات المؤسسات. و كذلك توفير خدمة موثوقة للعملاء والحفاظ على أمان بياناتهم.
إثبات الامتثال وإنشاء أرضية صلبة لإدارة المخاطر. غالباً ما تقدم هذه الشهادات تطمينات لفرق المشتريات لأمان سلسلة التوريد. أو يمكن استخدامها لإثبات الامتثال للوائح وتلبية المتطلبات التنظيمية.
تقليل النفقات العامة و تحسين العناية الواجبة. تتمثل نقطة الألم الكبيرة لشركات البرمجيات في العناية الواجبة due diligence التي لا هوادة فيها في خدمة عملاء المؤسسات. المئات ، بل وحتى الآلاف من “أسئلة الأمان” وعمليات تدقيق البائعين . تم تصميم معايير مثل SOC 2 و ISO 27001 للحصول على عملية تدقيق مستقلة واحدة تلبي متطلبات المستخدم النهائي الواسعة.
يساعد في تبسيط العمليات التجارية وتحسينها: إن حصولك على إعتمادية هذه الشهادات يؤكد أنك تتبنى أفضل الممارسات و الخبرات. يستفيد المستثمرون والمنظمون والشركاء ومجلس الإدارة وفريق الإدارة وحتى الموظفون من توافقك مع المعايير. إذلك التوافق يطمئن الجميع أنك معني بتحسين وضعك الأمني ، ويساعد في تلبية متطلبات الامتثال ، ويعزز ممارساتك التشغيلية الأساسية.
ما هي معايير أمن المعلومات الأفضل؟
لكل معيار متطلبات مختلفة ، وفروق دقيقة في كيفية تطبيقها ، و ارتباطها بالسوق. يؤثر هذا على أيهما قد يكون أفضل لعملك وكيف يساعدك على تحقيق الأهداف المذكورة أعلاه.
فيما يلي، سنقارن بين المعيارين الأكثر شيوعاً ، SOC و ISO.
في كثير من الأحيان ، نرى أن تقارير SOC2 يتم تبنيها والاعتراف بها على نطاق واسع. قد تتطلب العديد من إدارات المشتريات والأمن تقرير SOC2 قبل الموافقة على استخدام مزود SaaS. إذا كان عملك يتعامل مع أي بيانات خاصة بالعميل ، فإن الحصول على تقرير SOC2 سيساعد العملاء والمستخدمين في معرفة أنك تفكر بجدية في أمان البيانات وحمايتها.
إن الرعاية الصحية والتجزئة والخدمات المالية و SaaS والتخزين السحابي وشركات الحوسبة ليست سوى بعض الشركات التي ستستفيد من شهادة الامتثال SOC
ما هي شهادة SOC-2؟
تعتمد SOC-2 على خمسة مبادئ من معايير خدمة الثقة Trust Services Criteria (TSC).
- الأمان: التأكد من حماية المعلومات والأنظمة الحساسة من المخاطر الأمنية وأنه يتم اتباع جميع الإجراءات الأمنية المحددة مسبقاً
- التوفر: ضمان توفر جميع الأنظمة وتقليل وقت التوقف عن العمل لحماية البيانات الحساسة
- تكامل المعالجة: التحقق من سلامة البيانات أثناء المعالجة وقبل التفويض باستخدام الخدمة
- السرية: السماح بالوصول إلى المعلومات فقط لمن تمت الموافقة عليهم والمصرح لهم باستلامها
- الخصوصية: إدارة المعلومات الشخصية والخاصة بنزاهة وعناية
تم تصميم اختبارات SOC2 من قبل المعهد الأميريكي للمحاسبين القانونيين المعتمدين (AICPA) لمساعدة المؤسسات على حماية بياناتها وخصوصية معلومات عملائها. يركز تقييم SOC2 على الضوابط الأمنية للمؤسسة المتعلقة بالخدمات والعمليات الشاملة والامتثال للأمن السيبراني. يمكن إكمال اختبارات SOC 2 للمؤسسات بمختلف الأحجام و قطاعات العمل.
تقوم الشركات التي تتعامل مع بيانات العملاء بإجراء عمليات تدقيق SOC 2 بشكل استباقي للتأكد من أنها تلبي جميع المعايير.
بمجرد قيام مدقق خارجي بإجراء تدقيق SOC2 ، سيصدر المدقق شهادة SOC 2 التي توضح أن الشركة تتوافق مع جميع المتطلبات إذا اجتازت الشركة عملية التدقيق.
هناك نوعان من عمليات تدقيق SOC 2: النوع 1 والنوع 2. الفرق بينهما بسيط: فبينما يدقق النوع 1 في تصميم عملية أو إجراء أمان معين في وقت واحد ، يقيّم تدقيق النوع 2 كيفية نجاح هذه العملية الأمنية.
ما هو المعيار ISO / IEC 27001: 2013؟
ISO / IEC 27001 هو معيار دولي لأمن المعلومات تم نشره بشكل مشترك من قبل المنظمة الدولية للتوحيد القياسي (ISO) واللجنة الكهروتقنية الدولية (IEC.) وهو جزء من مجموعة معايير ISO / IEC 27000. يوفر إطاراً لمساعدة المؤسسات على إنشاء أنظمة إدارة أمن المعلومات وتنفيذها وتشغيلها ومراقبتها ومراجعتها وصيانتها وتحسينها باستمرار.
يشرح ISO 27001 مواصفات نظام إدارة أمن المعلومات (ISMS) لمساعدة المؤسسات على التعامل مع الأشخاص والعمليات والتكنولوجيا حول أمن البيانات لحماية سرية أصول المعلومات الخاصة بهم وسلامتها وتوافرها.
يعتمد إطار عمل ISO 27001 على تقييم المخاطر وإدارة المخاطر ، ويتضمن الامتثال تحديد مخاطر أمن المعلومات وتنفيذ ضوابط أمنية مناسبة للتخفيف منها. يتضمن أيضاً 27017 و 27018 لإثبات حماية الأمان والخصوصية السحابية و / أو إجراء 27701 (نظام إدارة الخصوصية) كامتداد لـ ISO 27001.
إن حماية المعلومات هو الخيط المشترك بين كل من معايير أمن المعلومات SOC 2 و ISO 27001. يتشابه كل من SOC 2 و ISO 27001 من حيث أنهما مصممان لغرس الثقة مع العملاء بأنك تحمي بياناتهم. إذا نظرت إلى مبادئهم ، فكل منها يغطي الأبعاد الأساسية لتأمين المعلومات ، مثل السرية والنزاهة والتوافر.
والخبر السار من هذه المقارنة هو أن كلا الإطارين هما شهادات معترف بها على نطاق واسع تثبت للعملاء أنك تأخذ الأمان على محمل الجد. يضاف لذلك أنك إذا أكملت شهادة واحدة ، فأنت على الطريق الصحيح لتحقيق الأخرى.
و عادةً مايتم قبول أي من هاتين الشهادتين SOC 2 أو ISO 27001 من قبل العملاء كدليل من جهة خارجية مستقلة على سلامة و جودة برنامج أمن المعلومات في مرسستك كمزود خدمة. كما أن عدم ارتباط SOC 2 و ISO 27001 بأي صناعة يجعلهما مقبولتين من كل الصناعات تقريباً.
هناك العديد من الاختلافات الرئيسية بين ISO 27001 و SOC 2 ، ولكن الاختلاف الجوهري هو النطاق. تهدف ISO 27001 إلى توفير إطار عمل لكيفية إدارة المؤسسات لبياناتها وإثبات أن لديها نظام ISMS يعمل بالكامل. في المقابل ، توضح SOC 2 أن المنظمة قد نفذت ضوابط أمان البيانات الأساسية.
ISO 27001 أو SOC 2 هذا هو السؤال
إن جواب هذا السؤال يتمايز عن سؤال شكسبير الشهير “To be, or not to be: that is the question“. فمهما كانت الشهادة التي تقرر القيام بها أولاً ، فإنه هناك احتمال كبير أنك مع نمو عملك ، سيتعين عليك في النهاية إكمال كلا الشهادتين لتلبية متطلبات عملائك العالميين. مما يشجعك على ذلك أن هناك طرقاً سهلة و سريعة و قليلة التكلفة نسبياً للاستفادة من الجهد الذي بذلته للحصول على إحدى الشهادتين في حصولك على الشهادة الأخرى. و بالتالي فلن تضطر لإعادة اختراع العجلة في كل مرة. إن تفكيرك كمزود للخدمات بتحقيق الامتثال بشكل استباقي سيوفر لك الوقت والمال على المدى الطويل.
