ما المقصود بأمان المعلومات؟

أمان المعلومات هو إجراء يُعنى بحماية بيانات المؤسسة بجميع أشكالها، سواء أكانت إلكترونية أم ورقية. تقوم المؤسسات بحماية بياناتها التشغيلية وبيانات عملائها بهدف الحفاظ على سمعتها وثقة العملاء والالتزام باللوائح التنظيمية. يتناول أمان المعلومات الأساليب والتقنيات التي تضمن عدم الوصول إلى المعلومات أو التعديل عليها أو حذفها إلا من قبل جهات مخولة.

يساهم أمان المعلومات في تمكين المؤسسات من الحفاظ على سلامة وسرية وتوفر بياناتها وأنظمتها التجارية. توجد أسباب متعددة تؤكد أهمية أمان المعلومات.

تمكين استمرارية الأعمال

تمكّن أنظمة المعلومات القوية المؤسسات من ضمان استمرارية الوصول إلى بياناتها وأنظمتها، حتى عند وقوع أحداث أمنية مفاجئة. يشمل التخطيط لاستمرارية الأعمال اعتماد برامج أمنية، ووضع سياسات للتعامل مع الأحداث، وتطبيق إجراءات تقنية تعزز من حماية المؤسسة.

اكتساب ثقة العملاء

يساعد أمان المعلومات في الحد من الحوادث الأمنية المفاجئة، مما يتيح للمؤسسات تقديم خدماتها دون انقطاع للعملاء. يُظهر التزام المؤسسات الدائم بالحوكمة، وأفضل الممارسات، ومبادئ التطوير الآمن مدى اهتمامها ببيانات المستخدمين وحمايتها.

تخفيف المخاطر الأمنية

تختلف المخاطر التي يجب على الشركات مواجهتها حسب طبيعة القطاع الذي تنشط فيه. يتيح أمان المعلومات تطبيق ضوابط فنية وإجرائية تهدف إلى التحكم في المخاطر والتخفيف من آثارها.

بإمكان المؤسسات اعتماد تقنيات حديثة في إدارة الأمان تساعد في خفض فرص الحوادث الأمنية المفاجئة وتعزز من قدرتها على التعامل مع المخاطر.

حماية سمعة العلامة التجارية

يُسهم أمان المعلومات في صون سمعة العلامة التجارية عبر تمكينها من تقديم خدماتها بثبات، وحماية بيانات العملاء، والاستجابة للمتطلبات التشغيلية. قد تتسبب الحوادث الأمنية غير المتعمدة في إلحاق الضرر بسمعة العلامة التجارية، لكن اعتماد ممارسات أمان معلومات قوية يقلل من فرص وقوعها.  

تعتمد كل مؤسسة على عدد من المبادئ الجوهرية في مجال أمان المعلومات.

السرية

تضمن مبدأ السرية ألا يتمكن من الوصول إلى البيانات الحساسة سوى الأفراد المخولين بذلك. يشمل هذا المبدأ الجوانب التقنية والمادية، من خلال فرض قيود على الوصول إلى الملفات الرقمية، وكذلك تقييد الوصول الفعلي إلى المكاتب. يشمل مبدأ السرية أيضًا تطبيق التشفير لحماية البيانات أثناء نقلها أو تخزينها، والتأكد من أن بيانات الشركة بأكملها مؤمّنة.

السلامة

تُعنى النزاهة بالحفاظ على صحة البيانات وموثوقيتها وتناسقها في جميع مراحل استخدامها داخل المؤسسة. الغرض من هذا المبدأ هو ضمان سلامة البيانات من أي تغيير غير مصرح به، مع الحفاظ على دقتها ومعرفة أصحابها بأي تعديل يطرأ عليها. الحفاظ على نزاهة البيانات في الأنظمة المعلوماتية يشمل استخدام التوقيعات الرقمية، والتجزئة التشفيرية، وتخزين البيانات في سجلات غير قابلة للتعديل، والتحقق منها في جميع مراحل دورة حياتها.

التوافر

يهدف مبدأ الإتاحة إلى تمكين المستخدمين المصرح لهم من الوصول إلى البيانات المطلوبة في الوقت المناسب وبدون تعطيل. يقوم هذا المبدأ على تطبيق استراتيجيات للنسخ الاحتياطي واسترجاع البيانات، لضمان استمرار الوصول إلى المعلومات. كما تشمل الإتاحة الحماية من الأعطال الخارجية، ومتابعة أداء أنظمة التخزين داخل مراكز البيانات، وتصميم بنية بيانات تتحمل الأعطال.

عدم الإنكار

يضمن عدم الإنكار إمكانية تتبع ورصد وتسجيل جميع الأنشطة المتعلقة بالبيانات. عند تضمين عدم الإنكار في أنظمة أمان المعلومات، تتمكن الشركات من إنشاء أثر تدقيقي لكل معلومة داخل النظام. يتم تسجيل جميع تفاعلات المستخدم مع المعلومات — مثل الوصول، أو التعديل، أو الموافقة على النقل أو التغيير — في سجل لا يمكن تعديله.

ضمان المعلومات

ضمان المعلومات هو نهج يُعنى بحماية الأنظمة المعلوماتية مع ضمان استمرار تنفيذ العمليات الحيوية للمؤسسة. يمثل هذا المبدأ نطاقًا أوسع من الأمان، حيث يتضمن التقيّد بأطر مثل ISO 27001، وإدارة المخاطر الجديدة، وفحص الأنظمة الأمنية دوريًا، إلى جانب المراقبة الدائمة لأي تهديد محتمل. 

يحدد نظام إدارة أمن المعلومات (ISMS) الآليات التي تتبعها المؤسسة لحماية بياناتها في مختلف مراحل دورة حياتها. يحدد هذا النظام عادةً كيفية عمل الأشخاص والعمليات والتكنولوجيا لتوفير ضوابط أمنية شاملة لجميع أنظمة المعلومات داخل الشركة.

تُوفّر الأطر والمعايير الدولية إرشادات تفصيلية وتوجيهية تدعم المؤسسات في حماية معلوماتها وبياناتها ضمن برامج الامتثال. فيما يلي مجموعة من المعايير والأطر التي يمكن لمؤسستك الاسترشاد بها.

ISO-27001

تركز ISO-27001 على أربعة مجالات أساسية تشمل الأمن التنظيمي، وأمن الأفراد، والأمن المادي، والتحسينات التقنية. يسعى كل محور من هذه المحاور إلى تحسين الأمان من زاوية مختلفة، على سبيل المثال:

• إجراء دورات تدريبية أمنية للموظفين ضمن نطاق الأمان المتعلق بالأفراد.
• تطبيق سياسات مشددة للوصول إلى المكاتب في إطار الأمان المادي.
• تطبيق تقنيات التشفير لحماية البيانات أثناء التخزين وأثناء النقل في إطار الأمان التقني.

جميع هذه الجوانب تؤدي دورًا في تعزيز معيار أمان المعلومات.

• حصلت AWS على شهادة الامتثال لمعيار ISO/IEC 27001:2022. وهذا يعني داخليًا أننا نقوم بتقييم مخاطر أمن المعلومات لدينا بشكل منهجي، مع مراعاة تأثير التهديدات ونقاط الضعف.
• نصمم مجموعة شاملة من وحدات تحكم أمن المعلومات ونطبقها، فضلًا عن غيرها من أشكال إدارة المخاطر الهادفة إلى التصدي لمخاطر أمن العملاء والبنية الهندسية.
• لدينا عملية إدارة شاملة للمساعدة في ضمان أن ضوابط أمن المعلومات تلبي احتياجاتنا بشكل مستمر.

PCI-DSS

يُعتبر PCI-DSS من المعايير المستخدمة على نطاق واسع لضمان أمان عمليات الدفع بالبطاقات، بما يشمل تخزين البيانات المالية ونقلها ومعالجتها. يتعين على أي جهة تقوم بتخزين أو معالجة أو نقل بيانات حامل البطاقة (CHD) أو بيانات المصادقة الحساسة (SAD)، مثل التجار والمعالِجين والمستحوذين والمُصدِرين ومزودي الخدمات، أن تحصل على اعتماد بموجب معيار PCI-DSS.

بإمكانك مراجعة قائمة خدمات AWS المشمولة حاليًا ضمن نطاق معيار PCI DSS.

HIPAA/HITECH

يُعد HIPAA (قانون نقل ومساءلة التأمين الصحي) قانونًا اتحاديًا في الولايات المتحدة يهدف إلى حماية المعلومات الصحية الشخصية (PHI) من خلال الحفاظ على سريتها ومنع تسريبها دون إذن. يسري قانون HIPAA على "الجهات المشمولة"، مثل خطط الرعاية الصحية، ومراكز معالجة البيانات الصحية، ومقدمي الرعاية الذين يرسلون معلومات صحية عبر الوسائل الإلكترونية، إضافة إلى شركائهم في الأعمال.

بإمكانك مراجعة قائمة خدمات AWS المشمولة حاليًا ضمن نطاق امتثال HIPAA.

FedRAMP

برنامج إدارة المخاطر والترخيص الفيدرالي (FedRAMP) هو برنامج على مستوى الحكومة الأمريكية يهدف إلى توحيد التقييم الأمني والترخيص والمراقبة المستمرة للمنتجات والخدمات السحابية التي تستخدمها الوكالات الفيدرالية.

بإمكانك مراجعة قائمة خدمات AWS المشمولة حاليًا ضمن نطاق امتثال FedRAMP.

اللائحة العامة لحماية البيانات (GDPR)

GDPR (اللائحة العامة لحماية البيانات) هو إطار تشريعي صادر عن الاتحاد الأوروبي لحماية بيانات المقيمين ضمن دوله. يُعتبر GDPR معيارًا عالميًا لأن أي نشاط تجاري يسعى للتعامل مع عملاء الاتحاد الأوروبي يجب أن يلتزم به. يسعى GDPR إلى تعزيز مبدأ تقليل البيانات، والتأكد من مشروعية جمع البيانات، ومنح المستخدمين حق طلب حذف بياناتهم الشخصية.

يمكن لعملاء AWS استخدام جميع خدمات AWS في معالجة البيانات الشخصية (على النحو الوارد في اللائحة العامة لحماية البيانات (GDPR) التي يتم تحميلها إلى خدمات AWS ضمن حسابات AWS الخاصة بهم بيانات عملائهم) امتثالاً إلى اللائحة العامة لحماية البيانات (GDPR).

FIPS 140-3

تُعد FIPS 140-3 وحدة تشفير إلزامية لجميع الوكالات الأمريكية التي تعمل في الإطار الفيدرالي. ينتمي هذا المعيار إلى إطار عمل FedRAMP، ويُلزم الشركات بتبنّي تدابير شاملة للحماية والوقاية الأمنية.

تقدم AWS عددًا كبيرًا من نقاط النهاية التي تدعم معيار FIPS، موزعة حسب الخدمة.

تنقسم برامج أمان المعلومات إلى فئات رئيسية متعددة، تتكامل فيما بينها لحماية التطبيقات وأعباء العمل.

حماية البيانات

تُستخدم خدمات حماية البيانات لحماية المعلومات الحساسة والحسابات وأعباء العمل من محاولات الوصول غير المصرح بها. من بين خدمات حماية البيانات الرئيسية: تشفير البيانات أثناء التخزين والنقل، وإدارة المفاتيح، واسترجاع البيانات الحساسة.

حماية الشبكة والتطبيقات

تشير تقنيات حماية الشبكة والتطبيق إلى السياسات والاستراتيجيات التي تنفذها المؤسسة عند نقاط التحكم الأمنية في الشبكة. تعمل هذه التقنيات على اكتشاف حركة البيانات الواردة، وتطبيق عوامل تصفية عليها، ومنع الاتصالات غير المصرح بها من الوصول إلى الشبكة. من بين التقنيات الرئيسية: جدران الحماية، وخدمات VPN، وأنظمة كشف التهديدات على الأجهزة الطرفية، إلى جانب حدود الأمان على مستوى التطبيقات، التي تعزز من حماية الشبكة.

إدارة الهوية والوصول

تمكِّن أدوات الأمان الخاصة بإدارة الهوية والوصول (IAM) شركتك من إدارة ضوابط الوصول، وتحديد مستويات الأذونات، وتحديد الحسابات التي يمكنها الوصول إلى البيانات الحساسة. تُستخدم ضوابط الهوية لتحديد صلاحيات الحسابات، وما يمكنها الوصول إليه أو التفاعل معه بناءً على تلك الصلاحيات. ينطبق هذا على كل من آليات التحكم على مستوى البيانات وأنظمة الامتيازات المخصصة للحسابات.

الامتثال والتدقيق

يتعلق مفهوما الامتثال والتدقيق بقدرة مؤسستك على الالتزام بأفضل الممارسات، ومراقبة البيئة التشغيلية، وضمان استيفاء معايير الامتثال. تختلف المعايير التي يجب التدقيق والامتثال لها تبعًا لطبيعة الصناعة التي تعمل بها شركتك.

تدابير الأمان المادي

ضوابط الأمان المادي هي نوع من أنظمة التحكم في الوصول وتشمل المكاتب، والخوادم، والمواقع الفعلية للأعمال. يتضمن ذلك تصميم المواقع بطريقة آمنة، وضمان التوافر المستمر، وتطبيق سياسات التحكم في الوصول المادي. يمتد الأمان المادي والبيئي ليشمل مراقبة عمليات الدخول، وتسجيل التنقلات، والحفاظ على أثر بيانات يُستخدم في عمليات التدقيق. 

عند اعتماد خدمات الحوسبة السحابية، يتقاسم موفر السحابة والشركة مسؤولية الأمان والامتثال. يُطلق على هذا التوزيع في المسؤوليات اسم نموذج المسؤولية المشتركة، وهو يحدد الأدوار التي يجب أن يضطلع بها كل طرف لضمان أمان البيئة السحابية.

تقع على عاتق العميل مسؤولية إدارة بياناته، والمنصة، والتطبيقات، والتحكم في الهوية والوصول، وتشفير بيانات المستخدم، وتكوين إعدادات الشبكة، وغيرها من المسؤوليات. موفر السحابة مسؤول عن البنية التحتية التي تُشغِّل الخدمات السحابية، بما في ذلك الأجهزة والبرمجيات والشبكات التي تقع تحت إدارته.

تختلف تفاصيل المسؤولية المشتركة بحسب موفر الخدمة السحابية الذي تتعاون معه الشركة. يُشار إلى هذا التقسيم في المسؤولية غالبًا بأنه الأمان "للسحابة" مقابل الأمان "في السحابة".

في AWS، يُعد الأمان أولويتنا الأولى. تم تصميم AWS لتكون البنية التحتية السحابية العالمية الأكثر أمانًا التي يمكن من خلالها إنشاء التطبيقات وأعباء العمل وترحيلها وإدارتها. يتم دعم ذلك من خلال ثقة الملايين من عملائنا، بما في ذلك المؤسسات الأكثر حساسية للأمان مثل الحكومة والرعاية الصحية والخدمات المالية.

الأمان هو مسؤولية مشتركة بين AWS وبين العميل. ونستطيع من خلال هذا النموذج المشترك التخفيف من العبء التشغيلي للعميل، حيث تقوم AWS بتشغيل المكونات وإدارتها والتحكم فيها من نظام التشغيل المستضيف وطبقة الوضع الظاهري وصولاً إلى الأمان المادي للمرافق التي تعمل بها الخدمة. نقدم دعمًا شاملاً لمجموعة متنوعة من معايير الأمان وشهادات الامتثال مثل PCI-DSS، وHIPAA/HITECH، وFedRAMP، وGDPR، وFIPS 140-3، لمساعدة العملاء على الامتثال للمتطلبات التنظيمية عالميًا. نحن نوفر لك أيضًا إمكانية التحكم الكامل في بياناتك، بحيث يمكنك تحديد طريقة استخدامها، ومن يمتلك صلاحية الوصول إليها، وآلية تشفيرها.

خدمات الأمان التي تقدمها AWS تُمكِّنك من تعزيز جهودك لحماية معلوماتك في السحابة. على سبيل المثال:

• خدمات التدقيق والتكوين في AWS تمنحك نظرة متكاملة على مدى الامتثال، مع مراقبة دائمة لبيئتك.
• تتيح لك خدمات حماية بيانات AWS، مثل إدارة الهوية والوصول في AWS (IAM)، إدارة الوصول بأمان إلى خدمات وموارد AWS. تُمكّنك AWS CloudTrail وAmazon Macie من الحوكمة والامتثال والاكتشاف والتدقيق بينما تُمكّنك AWS CloudHSM وخدمة إدارة المفاتيح (KMS) من AWS من إنشاء مفاتيح التشفير وإدارتها بشكل آمن. يوفر AWS Control Tower الحوكمة والضوابط الخاصة بوضع البيانات.
• تسهم خدمات الكشف والاستجابة التي توفرها AWS في تحسين وضعك الأمني وتيسير العمليات الأمنية في مختلف أنحاء بيئة AWS الخاصة بك.
• تساعدك خدمات الهوية من AWS على إدارة الهويات والموارد والأذونات بأمان على نطاق واسع.
• تساعدك خدمات AWS لحماية الشبكة والتطبيقات على فرض سياسات أمان دقيقة في نقاط التحكم في الشبكة عبر مؤسستك.

يمكنك بدء رحلتك في تأمين المعلومات على AWS عبر إنشاء حساب مجاني اليوم.