ISO 27001 في تطوير البرمجيات: ما يجب أن يمتلكه شريكك التقني

العمل مع مورّد غير موثّق على برمجيات خاضعة للتنظيم هو مخاطرة قابلة للقياس. يمكن أن يكلّف اختراق البيانات أو التدقيق الفاشل أو الالتزام بالإخطار بموجب GDPR أكثر من قيمة العقد ذاته. يمنحك شريك تطوير البرمجيات الحاصل على شهادة ISO 27001 خطاً أساسياً محكوماً — تم التحقق منه بواسطة مدقق مستقل، لا بالإعلان الذاتي.

السؤال ليس ما إذا كان مورّدك يحمل شهادة. بل هو ما إذا كانت شهادتهم تعكس نظام إدارة أمنية يعمل فعلاً أم مجرد تمرين توثيقي.

ماذا تعني ISO 27001 لشركة تطوير برمجيات؟

ISO/IEC 27001 هو المعيار الدولي المعترف به لأنظمة إدارة أمن المعلومات (ISMS)، الصادر عن المنظمة الدولية للمعايير واللجنة الكهرتقنية الدولية. النسخة الحالية، ISO 27001:2022، صدرت في أكتوبر 2022 وحلّت محل ISO 27001:2013.

بالنسبة لشركة تطوير البرمجيات، تعني الشهادة أن مدققاً خارجياً معتمداً قد تحقق من أن المؤسسة قد:

• حددت مخاطر أمن المعلومات وقيّمتها بشكل منهجي
• نفّذت ضوابط للحدّ من تلك المخاطر إلى مستوى مقبول
• وثّقت السياسات والإجراءات والمسؤوليات
• التزمت بالتحسين المستمر لنظام ISMS

تحتوي ISO 27001:2022 على 93 ضابطاً موزعةً على أربعة محاور: التنظيمي، والبشري، والمادي، والتقني. لا تعني الشهادة أن المورّد طبّق جميع الـ 93 ضابطاً. بل تعني أنهم وثّقوا الضوابط المنطبقة، وطبّقوا ما ينطبق منها، وبرّروا أي استثناءات.

عدد الضوابط وفق ISO/IEC 27001:2022 الملحق أ، متاح مباشرةً من iso.org.

ما الفرق بين ISO 27001:2013 و ISO 27001:2022؟

أعادت مراجعة 2022 هيكلة مجموعة الضوابط من 114 ضابطاً في 14 فئةً إلى 93 ضابطاً في أربعة محاور. أُدرجت أحد عشر ضابطاً جديداً تغطي أمن السحابة وإخفاء البيانات وذكاء التهديدات والبرمجة الآمنة. وجميعها ذات صلة مباشرة بشركاء تطوير البرمجيات.

لم تعد شهادات ISO 27001:2013 تُعدّ سارية المفعول بعد اكتمال فترة الانتقال في أواخر عام 2025. أي مورّد يقدّم شهادة 2013 باعتبارها صالحة اليوم يجب أن يُسأل عن وضع إعادة الاعتماد.

عند تقييم شريك، تأكد من أن الشهادة تحدد ISO/IEC 27001:2022، وليس نسخة 2013 المستبدَلة.

ما الذي يجب أن أسأله لشريك تطوير البرمجيات الحاصل على شهادة ISO 27001؟

الشهادة نقطة بداية لا خاتمة. تعامل مع الشهادة باعتبارها دليلاً على وجود عملية، ثم تحقق من أن العملية تعمل فعلاً.

اطرح الأسئلة التالية قبل أي التزام تجاري:

• هل شهادتك سارية المفعول؟ الشهادات صالحة لثلاث سنوات، مع تدقيقات مراقبة إلزامية في السنة الأولى والثانية. اطلب الشهادة وتأكد من تاريخ الصلاحية واسم هيئة الاعتماد المعتمدة.
• ما نطاق شهادتك؟ يمكن لشهادة ISO 27001 أن تغطي قسماً أو منتجاً أو منطقة جغرافية بعينها، لا الشركة بأكملها. تأكد من أن النطاق المعتمد يشمل الفريق والأنظمة التي ستتعامل مع بياناتك.
• أي هيئة اعتماد دققتك؟ الهيئات المعتمدة مدرجة في القائمة العالمية لـ Global ACI MLA. الشهادات الصادرة عن هيئات غير معتمدة لا تحمل أي ضمان معترف به دولياً.
• كيف تتعامل مع المعالجين الثانويين والموردين الخارجيين؟ إدارة مخاطر سلسلة التوريد هي ضابط أُدرج في ISO 27001:2022 (الضابط 5.19). يجب على الشريك المعتمد أن يصف كيفية فحصه ومراقبته للأطراف الثالثة التي تصل إلى بيانات المشروع.
• ما إجراء الاستجابة للحوادث لديكم؟ اطلب نظرة عامة. ما مدى سرعة إخطار العملاء؟ وما الذي يوثّقونه؟

هل تعني شهادة ISO 27001 الامتثال للائحة GDPR؟

لا، وهذا مفهوم خاطئ شائع. تتناول ISO 27001 والـ GDPR متطلبات متداخلة لكنها مختلفة.

ISO 27001 معيار دولي طوعي. يركّز على إدارة مخاطر أمن المعلومات.

GDPR التزام قانوني أوروبي. يركّز على حقوق أصحاب البيانات والمعالجة المشروعة للبيانات الشخصية.

تدعم شهادة ISO 27001 الامتثال لـ GDPR، ولا سيما التزامات المادة 32 المتعلقة بأمن المعالجة. تُلزم المادة 32 المؤسساتِ بتطبيق تدابير تضمن سرية وسلامة وتوافر ومرونة أنظمة المعالجة، بما في ذلك التشفير وإخفاء الهوية والاختبار الدوري. لا تحلّ شهادة ISO 27001 محلّ هذه الالتزامات. يمكن أن يكون المورّد المعتمد غير ممتثل إذا افتقر إلى اتفاقية معالجة بيانات صالحة، أو لم يحتفظ بسجلات أنشطة المعالجة، أو أخفق في احترام حقوق أصحاب البيانات.

بالنسبة لشركات DACH التي تتعاقد مع شركاء خارج الاتحاد الأوروبي، يُعدّ الجمع بين شهادة ISO 27001 والبنود التعاقدية القياسية (SCCs) مطلوباً في الغالب. هذه هي الطريقة التي تُثبَت بها الحماية الكافية بموجب الفصل الخامس من GDPR. تأكد من وجود كليهما قبل بدء نقل البيانات.

ما ضوابط أمن المعلومات الأكثر أهميةً في سياق تطوير البرمجيات؟

ليست كل الضوابط الـ 93 ذات وزن متساوٍ في تقييم المورّد. الضوابط الأكثر صلةً بمشاريع تطوير البرمجيات الآمنة هي:

• A.8.25 - دورة حياة التطوير الآمن: الأمن مدمج في عملية التطوير، لا مضاف بعد الإصدار
• A.8.29 - اختبار الأمن في التطوير والقبول: اختبار الثغرات قبل النشر
• A.8.28 - البرمجة الآمنة: ضابط صادر عام 2022 يتطلب مبادئ لكتابة كود مقاوم للهجمات
• A.5.19 - أمن المعلومات في علاقات الموردين: متطلبات أمنية موثّقة لموردي الأطراف الثالثة
• A.8.10 - حذف المعلومات: إزالة بيانات العميل من أنظمة المورّد عند انتهاء المشروع
• A.6.8 - الإبلاغ عن أحداث أمن المعلومات: كيفية تعرّف الموظفين على الحوادث ورفعها

عند تقييم نظام ISMS للمورّد عملياً، اسأل كيف يعمل كل من هذه الضوابط داخل سير عمل التطوير لديهم — لا فقط ما إذا كان موثّقاً.

هل تكفي شهادة ISO 27001 للقطاعات الخاضعة للتنظيم؟

في معظم سياقات تطوير البرمجيات الخاضعة للتنظيم، تُعدّ ISO 27001 ضروريةً لكنها غير كافية.

الخدمات المالية. دخل DORA — قانون المرونة التشغيلية الرقمية (اللائحة EU 2022/2554) — حيز التنفيذ في 16 يناير 2023 ويُطبَّق اعتباراً من 17 يناير 2025. يُلزم المؤسسات المالية بإدارة مخاطر الأطراف الثالثة لتقنية المعلومات والاتصالات عبر أحكام تعاقدية والتزامات إخطار بالحوادث واختبارات المرونة التشغيلية. تدعم ISO 27001 الامتثال لـ DORA لكنها لا تُوفّيه. تأكد من أن شريكك يفهم التزاماته بموجب DORA قبل بدء العمل.

الرعاية الصحية. تتناول ISO 27001 أمن المعلومات بشكل عام. لبيانات الصحة، قد تُطبَّق ISO 27799 أو ما يعادلها من معايير وطنية. تتباين المتطلبات بحسب الولاية القضائية — تحقق قبل معالجة بيانات المرضى.

الحكومة والبنية التحتية الحيوية. وسّعت NIS2 — توجيه الاتحاد الأوروبي للأمن الشبكي والمعلوماتي (EU 2022/2555) — التوجيهَ الأصلي ليشمل 15 قطاعاً بالتزامات أكثر صرامة في إدارة المخاطر والإبلاغ عن الحوادث. يصل عدم الامتثال إلى غرامات تبلغ 10 ملايين يورو. شهادة ISO 27001 تدبير داعم، ولا تُوفي التزامات NIS2 تلقائياً.

يستطيع الشريك الجاهز للتدقيق في القطاعات الخاضعة للتنظيم أن يشرح كيف يتناول نظام ISMS الخاص به هذه الأُطر. الشريك الذي يُرجئ الإجابة غير مستعدّ للتدقيق.

ما الذي تغطيه شهادة ISO 27001 الخاصة بـ Gradion؟

تحمل Gradion شهادة ISO/IEC 27001:2022 عبر عملياتها الهندسية. يغطي النطاق المعتمد الأنظمة والعمليات والكوادر المشاركة في تطوير البرمجيات للعملاء — بما يشمل التطوير والنشر ومعالجة البيانات.

عملياً، يعني هذا:

• يخضع الوصول إلى أنظمة العملاء ومستودعاتهم لسياسات التحكم في الوصول الموثّقة.
• يتم تسجيل الحوادث الأمنية وتصنيفها وإخطار العملاء المتضررين بها خلال فترات محددة.
• يخضع المعالجون الثانويون وأدوات الأطراف الثالثة للتقييم قبل استخدامها في مشاريع العملاء وفق عملية إدارة مخاطر الموردين.
• يتلقى المطورون تدريباً على الوعي الأمني قبل الوصول إلى بيئات العملاء.
• ممارسات البرمجة الآمنة مضمّنة في سير عمل التطوير، لا تُطبَّق كفحص بعد الإصدار.

هكذا نُخفف الطبقة الأمنية للمشروع قبل انطلاق أول sprint. يُجدَّد الاعتماد عبر تدقيقات مراقبة سنوية تجريها جهة خارجية معتمدة. الشهادة ووثيقة النطاق متاحتان بناءً على الطلب في إطار اتفاقية سرية.

كيف أتحقق من صحة شهادة ISO 27001؟

ثلاث خطوات:

1. 1. تحقق من اعتماد هيئة الشهادة. ابحث في قاعدة بيانات Global ACI على global-aci.org، أو لدى هيئة الاعتماد الوطنية في بلدك: DAkkS في ألمانيا، UKAS في المملكة المتحدة، SAC في سنغافورة. إذا لم تكن الجهة المُصدِرة مدرجةً، فلا ضمان معترف به للشهادة.
1. 2. تأكد من أن النطاق يغطي مشروعك. تُحدد الشهادة النطاق المعتمد. إذا كتب 'عمليات المكتب الرئيسي' وكان مشروعك يشمل فريق تطوير موزعاً، فاسأل ما إذا كان هذا الفريق ضمن النطاق.
1. 3. تحقق من تواريخ الصلاحية. الشهادات صالحة لثلاث سنوات. تدقيقات المراقبة مطلوبة في السنة الأولى والثانية. غياب سجل التدقيق سؤال يستوجب المتابعة.

إذا تعذّر على المورّد مشاركة شهادته ووثيقة النطاق، فاعتبر ذلك إشارة خطر.

المصادر

• معيار ISO/IEC 27001:2022 (عدد الضوابط، هيكل الملحق أ) — iso.org، مدفوع
• المادة 32 من GDPR — التزامات أمن المعالجة — gdpr-info.eu (يعكس EUR-Lex، اللائحة 2016/679)
• تاريخ سريان DORA والتزامات أطراف تقنية المعلومات والاتصالات الخارجيين — ESMA، esma.europa.eu/esmas-activities/digital-finance-and-innovation/digital-operational-resilience-act-dora
• نطاق NIS2 والعقوبات — nis2directive.eu (التوجيه EU 2022/2555)
• فترة انتقال ISO 27001:2022 — IAF MD 26 (يناير 2023). أنهت IAF عملياتها في 1 يناير 2026؛ انتقلت الوظائف إلى Global Accreditation Cooperation Incorporated (global-aci.org).
• سجل اعتماد Global ACI — global-aci.org