الرئيسية » الامتثال للوائح والمعايير

الامتثال للأنظمة والمعايير

يناير 27, 2023 • Alessandro Mirani

الذكاء الاصطناعي، الواقع الافتراضي، المدفوعات غير النقدية، إنترنت الأشياء، والعديد من فروع تكنولوجيا المعلومات الأخرى تنمو يومًا بعد يوم.


مع نموهم وتوسعهم، تظهر متجهات تهديد جديدة ونقاط ضعف في المشهد السيبراني. في تقريره عن اتجاهات الأمن السيبراني في عام 2022، ذكر المنتدى الاقتصادي العالمي أن "مع استمرار الرقمنة وانتشار التقنيات الجديدة، فإن المخاطر السيبرانية ستزداد بلا شك". كما لاحظوا من خلال استطلاعاتهم أن "على الرغم من أن الجهات المعنية في القطاعين العام والخاص […] عازمة على تحقيق مستويات أعلى من المرونة السيبرانية، فإن جهودهم غالباً ما تعرقلها العديد من […] الحواجز التنظيمية".

فهم المتطلبات التنظيمية يمكن أن يكون في الواقع عقبة كبيرة أمام الشركات، خاصة تلك التي تهدف إلى التوسع على الصعيد الدولي. في المقالات التالية، سنقدم نظرة عامة حول كيفية التعامل مع اللوائح الخاصة بالأمن السيبراني، ما هي الأكثر شيوعاً وكيفية التعامل معها.

II. اللوائح والمعايير

في عام 2005، أجرت الاتحاد الدولي للاتصالات دراسة حول المبادرات الوطنية للأمن السيبراني عبر 14 من أكبر اقتصادات العالم وفي حوالي 30 صناعة. قدروا أن أكثر من 174 مبادرة، التي كان من الممكن أن تؤدي إلى سياسات مستقبلية، كانت نشطة. اليوم، استنادًا إلى عدد اللوائح والمعايير الموجودة في جميع أنحاء العالم، من المحتمل أن العدد الأدنى للسياسات الأمنية السيبرانية المعتمدة عالميًا هو في الآلاف.

ومع ذلك، من المهم فهم الفرق بين اللوائح والمعايير، حيث قد يُطلب من المنظمات الامتثال لأحدهما أو كليهما. اللائحة الخاصة بالأمن السيبراني هي قاعدة ملزمة قانونًا (أو مجموعة من القواعد) يجب على المنظمة اتباعها. الامتثال لهذه اللوائح إلزامي، والمنظمات التي تفشل في الامتثال قد تواجه عقوبات مثل الغرامات أو الإجراءات القانونية من الجهات الحكومية.

من ناحية أخرى، يعتبر معيار الأمن السيبراني مجموعة من الإرشادات أو أفضل الممارسات التي يمكن أن تتبعها المنظمة لتحسين موقفها في مجال الأمن السيبراني. الامتثال لهذه المعايير اختياري، ولكن اتباعها يمكن أن يساعد المنظمات في إظهار لعملائها وشركائها والجهات التنظيمية اتساق موقفها في مجال الأمن السيبراني.

باختصار، اللوائح ملزمة قانونًا ويمكن تنفيذها بموجب القانون، في حين أن المعايير ليست كذلك. ومع ذلك، نظرًا لأن المعايير يتم تحديثها بشكل متكرر، يمكن أن يساعد الالتزام بمعيار معين المنظمة في الامتثال للوائح. بالإضافة إلى ذلك، نظرًا لأن اللوائح عادةً ما تكون ذات نطاق أوسع، فإن الامتثال للمعايير المحددة لقطاع المنظمة يمكن أن يساعدها في التميز عن منافسيها.

لذلك، اعتمادًا على نشاط المنظمة، قد يتعين عليها الامتثال لمعيار أو لائحة محددة. ومع ذلك، من الآمن افتراض أن أي شركة حديثة يجب أن تمتثل لحماية البيانات والأمن السيبراني. لهذا السبب، قمت بتلخيص النقاط الرئيسية من لائحتين في أوروبا واثنين من المعايير المطلوبة بشكل شائع في الشركات حول العالم: اللائحة العامة لحماية البيانات (GDPR)، توجيه شبكات وأنظمة المعلومات (NIS)، ISO 27k، والمعهد الوطني للمعايير والتكنولوجيا (NIST).

فهم اللوائح والمعايير

في حال كنت غير مألوف بجميع السياسات المذكورة أعلاه، سأقدم لك مقدمة قصيرة لأربعة منها:

  • GDPR (اللائحة العامة لحماية البيانات): هذه هي اللائحة التابعة للاتحاد الأوروبي التي تحكم حماية البيانات الشخصية وحقوق الأفراد فيما يتعلق ببياناتهم الشخصية. تنطبق على أي شخص يقوم بمعالجة البيانات الشخصية لمواطني الاتحاد الأوروبي، بغض النظر عن مكان وجوده. هذا يعني أن أي شخص يقوم بمعالجة البيانات الشخصية للمواطنين الأوروبيين ملزم بالامتثال لـ GDPR. وتنظم مواد اللائحة العامة لحماية البيانات، من بين أمور أخرى، التدابير المتخذة لحماية البيانات الشخصية، تعيين مسؤول حماية البيانات، وعملية الإبلاغ عن الانتهاكات.
  • توجيه NIS (توجيه الشبكات وأنظمة المعلومات): هذه هي التوجيهات الخاصة بالاتحاد الأوروبي التي تركز على توفير قاعدة أمان للبنية التحتية الحيوية والخدمات الأساسية عبر أوروبا. وفقًا لهذا التوجيه، يُطلب من جميع الشركات العاملة في الصناعات الحيوية (مثل الطاقة، والنقل، والرعاية الصحية) ومقدمي خدماتها الرقمية (مثل محركات البحث وخدمات السحابة) تنفيذ تدابير أمان مناسبة. بالإضافة إلى ذلك، يتطلب التوجيه من الدول الأعضاء في الاتحاد الأوروبي أن يكون لديها استراتيجيات وطنية للأمن السيبراني وخطط استجابة للحوادث تكون متساوية أو أوسع من توجيه NIS. وهذا يعني أن جميع دول الاتحاد الأوروبي يجب أن تنفذ لوائح تغطي جميع موضوعات توجيه NIS كحد أدنى، ولكن يمكن أن تكون (ويجب أن تكون) أكثر شمولاً.
  • معيار ISO 27000 للأمن السيبراني: يُعرف أيضًا باسم ISO 27k، وهو معيار دولي يحدد إطارًا لنظام إدارة أمن المعلومات (ISMS). يقدم نهجًا منهجيًا لإدارة المعلومات الحساسة للشركات بحيث تظل آمنة. يتضمن مجموعة من السياسات والإجراءات التي يمكن أن تستخدمها المنظمات للمساعدة في حماية بياناتها السرية، بالإضافة إلى إرشادات لإدارة المخاطر والامتثال.
  • NIST (المعهد الوطني للمعايير والتقنية) إطار الأمن السيبراني: NIST هي وكالة حكومية أمريكية تنشر مجموعة واسعة من المعايير والإرشادات وأفضل الممارسات في مجال الأمن السيبراني. يوفر إطار الأمن السيبراني من NIST نهجًا قائمًا على المخاطر لإدارة الأمن السيبراني. يتم تنظيم المعيار من خلال تفصيل خمس خطوات أساسية للامتثال: تحديد، حماية، اكتشاف، استجابة، واستعادة.

يعدّ كل من GDPR، وتوجيه NIS، وISO 27k، وNIST من المعالجات الخاصة بالأمن السيبراني وحماية البيانات. وعلى الرغم من أنها قد تختلف من حيث النطاق والمتطلبات، فإن التعامل مع أحدها يمكن أن يكون خطوة رئيسية لتحقيق الآخرين. على سبيل المثال:

  • إذا نظرنا إلى ISO 27k و NIST، يمكننا أن نرى أن كلا المعيارين يتمتعان بانتشار واسع ويتم التعرف عليهما باعتبارهما من أفضل الممارسات في مجال الأمن السيبراني. ومع ذلك، يعد ISO 27k معيارًا يعتمد على العمليات ويوفر إرشادات لإدارة المعلومات الحساسة للشركات. من ناحية أخرى، يعتمد NIST على نهج يعتمد على المخاطر ويهدف إلى تحديد المخاطر وإدارتها وتقليلها من الثغرات الأمنية في مجال الأمن السيبراني.
  • If we take the NIS Directive and GDPR, we can see that they provide guidance and requirements to improve cybersecurity posture. The two are, in fact, overlapping in some aspects. However, it must be noted that GDPR aims to protect personal data at all levels, while the NIS Directive aims to provide guidance on all aspects related to information security but only on an industry-specific scope.

To summarize: the scope, enforceability, and purpose of your cybersecurity policies can be defined after regulations and standards but you must be aware of the differences between them in order to understand which one best applies to you. Once you’ve figured that out, it is just a matter of implementing them correctly. In the next section, a few suggestions on this matter.”

كيف تدير الامتثال للسياسات واللوائح؟ التحديات والحلول

قد يكون تنفيذ السياسات المذكورة أعلاه ضروريًا بسبب المتطلبات القانونية أو التدقيق القادم. قد تحتاج إلى إجراء تغييرات على عملياتك وهيكلك للامتثال للسياسة ذات الصلة. ومع ذلك، قبل القيام بذلك، هناك بعض الخطوات العامة التي يمكن اتخاذها للاستعداد لهذه التغييرات:

  • إدارة الجرد والأصول: عادةً ما تقوم المنظمات بتقييم أنظمتها وعملياتها وإجراءاتها الحالية لتحديد مستوى الامتثال. يشمل ذلك تحديد المناطق المعروفة بعدم الامتثال والمخاطر والثغرات المعروفة في بنيتها التحتية الحالية.
  • التدريب والتواصل: إعداد مواردك للتغييرات القادمة أمر بالغ الأهمية لضمان أن يفهم الجميع في منظمتك التغييرات اللازمة. يمكن أن يتسبب التدقيق أو ترقية البنية التحتية في حدوث اضطرابات وقد يتطلب من الموظفين اكتساب مهارات جديدة. يمكن أن تساعدك معرفة هذه الأمور في توفير الوقت عند تحديد الأولويات والتخطيط للحلول الممكنة.
  • إدارة الجهات الخارجية والموردين: هذا جانب غالبًا ما يتم التغاضي عنه. من المحتمل أن تكون هناك حاجة إلى جرد مفصل ومحدث لمورديك لضمان الامتثال لمعظم المعايير واللوائح. حتى إذا لم تعالج السياسة طرفًا ثالثًا بشكل مباشر، فقد تتطلب بشكل غير مباشر تغييرات في الشروط والأحكام الخاصة بالاتفاقيات مع مزودي الخدمات الخارجيين.
  • تحليل الفجوات: إذا كنت تتحقق من الامتثال للوائح أو المعايير، فمن المهم أن تكون مستعدًا لإجراء تحليل الفجوات لتحديد المجالات التي تحتاج إلى تعديلات حاسمة. هذه هي الخطوة الأولى نحو الامتثال ومن الأفضل أن يتم تنفيذها بواسطة مستشارين خارجيين لديهم معرفة محددة بالامتثال الذي تسعى لتحقيقه.

في الختام، الامتثال للوائح والمعايير يمكن أن يكون صعبًا ومكلفًا. قد تحتاج إلى الاعتماد على مستشارين خارجيين لتحقيق الامتثال إذا لم تكن لديك الكفاءات الداخلية اللازمة. ومع ذلك، فإن فهم الفروقات بين السياسات واللوائح ووضع استراتيجية يمكن أن يجعل العملية أكثر سلاسة ويساعدك على تحديد متى يكون من المجدي تحسين المعيار ومتى يكون من الضروري الامتثال للوائح.

الصورة الرمزية للمؤلف

أليساندرو ميراني

المشاركات المميزة

  1. الخصوصية والأمان كخصائص رئيسية لسلسلة الكتل: الجزء الثاني
  2. How Crypto Security Keeps Your Investments Steady in 2025
  3. تحليل البيانات للكشف عن الاحتيال
  4. معضلة تيك توك: موازنة الترفيه 
  5. أهمية الأمن السيبراني في منصات الألعاب عبر الإنترنت
  6. فيروس Tinba: حصان طروادة مصرفي خبيث
  7. The Impact of AI on Cryptocurrency Investments in 2025
  8. ما مدى أمان تقنية Blockchain؟
  9. تلف ملفات بيانات Outlook: الأسباب والوقاية والاسترداد
  10. The Price of Convenience: How Free Services Monetize Your Data
  11. البرامج الخبيثة التي تعمل على نظام أندرويد يمكنها سرقة البيانات المالية
  12. How to Introduce Monitoring Software to Your Team Without Causing a Revolt

ابق على اطلاع بأحدث اتجاهات التكنولوجيا والإنترنت.

©2025 securitybriefing - جميع الحقوق محفوظة.
arArabic
en_USEnglish de_DE_formalGerman da_DKDanish it_ITItalian sv_SESwedish ro_RORomanian thThai viVietnamese jaJapanese nl_NLDutch ko_KRKorean arArabic