Instagram Linkedin Telegram
فهرست
Instagram Linkedin Telegram
فهرست

مدیریت

امنیت سایبری

تغییرات استاندارد ISO 27001:2022 در مقایسه با ISO 27001:2013

در این مقاله قصد داریم با توجه به انتشار نسخه جدید استاندارد ISO 27001:2022، شما را با تغییرات پدید آمده در این استاندارد در مقایسه با نسخه سال 2013 آن آشنا کنیم. همچنین در این نوشته به پیامدهای این تغییرات بر سازمان‌هایی که در حال پیاده‌سازی این استاندارد هستند و یا پیش از این گوهینامه استقرار این سیستم مدیریتی را دریافت کرده‌اند خواهیم پرداخت. این مقاله برای سازمانهایی که پیش از این استاندارد ISO 27001:2013 را پیاده‌سازی کرده‌اند و قصد گذار از نسخه سال 2013 به 2022 را دارند و یا در حال پیاده‌سازی این استاندارد هستند، مفید خواهد بود. همچنین این نوشته میتواند برای مشاورین و مجریان استقرار استاندارد ایزو 27001 و نیز علاقمندان و پژوهشگران این حوزه جالب توجه باشد. چنانچه تمایل دارید با فرایند پیاده‌سازی سیستم مدیریت امنیت اطلاعات آشنا شوید به مقاله “22 گام پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS)” مراجعه نمایید.

معرفی و تاریخچه استاندارد ایزو 27001

ISO 27001 ارائه‌دهنده بهترین روش‌های بین‌المللی برای توسعه و نگهداری سیستم مدیریت امنیت اطلاعات (ISMS) است. این استاندارد به سازمان‌ها کمک می‌کند تا محرمانگی، دسترس‌پذیری و یکپارچگی اطلاعات خود را حفظ نمایند. استاندارد سیستم مدیریت امنیت اطلاعات برای اولین بار توسط سازمان بین المللی استاندارد در سال 2005 منتشر شد. این استاندارد در سال 2013 بازنگری شد و مجددا در سال 2022 به‌روز گردید. ساختار این استاندارد بین المللی از دو بخش اصلی تشکیل شده است. بخش اول که شامل الزامات عمومی است و دربرگیرنده بندهای 4 تا 10 است. بخش دوم که با عنوان پیوست الف (Annex A) شناخته میشود مشتمل بر کنترل‌های امنیت اطلاعات است. در ادامه این مقاله به تغییرات رخ داده در هر دو بخش اصلی این استاندارد پرداخته میشود.

بندها و الزامات عمومی استاندارد ایزو 27001 شامل سرفصل‌های زیر است:

  • بند 4: زمینه سازمان
  • بند 5: رهبری
  • بند 6: طراحی
  • بند 7: پشتیبانی
  • بند 8: عملیات
  • بند 9: سنجش عملکرد
  • بند 10: بهبود
تغییر عنوان استاندارد ISO 27001

اولین تغییری که در این استاندارد به چشم میخورد، تغییر در عنوان آن است.

  • عنوان استاندارد ISO/IEC 27001:2013:

Information technology – Security techniques – Information security management systems – Requirements

(فناوری اطلاعات – فنون امنیتی – سیستم های مدیریت امنیت اطلاعات – الزامات)

  • عنوان استاندارد ISO/IEC 27001:2022:

Information security, cybersecurity and privacy protection – Information security management systems – Requirements

(امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی – سیستم های مدیریت امنیت اطلاعات – الزامات)

همانطور که مشخص است ایزو 27001 نسخه 2022 نگاهی جامع‌تر و فراگیرتر به الزامات امنیتی پیدا کرده و علاوه بر تمرکز بر “امنیت اطلاعات” بر امنیت سایبری و حفاظت از حریم خصوصی نیز متمرکز شده است.

تغییرات استاندارد ISO 27001 در بخش الزامات عمومی

هرچند در بخش الزامات عمومی ISO 27001:2022 تغییرات عمده‌ای نسبت به ورژن قبلی (نسخه 2013) نداشته است ولیکن تغییرات مختصری در الزامات ایجاد شده است. تغییراتی که در الزامات عمومی استاندارد پدید آمده مربوط به بندهای 4-2، 4-4، 6-2، 6-3، 7-4، 8-1، 1-9، 2-9، 9-3 و 10 است. در ادامه هر یک از این تغییرات معرفی و توضیحات مرتبط آورده شده است.

  • بند 4-2 (درک نیازها و انتظارات ذینفعان): این بند از استاندارد در نسخه 2013 شامل دو زیر بند a و b بوده است که در نسخه 2022 به سه زیربند افزایش یافته و زیر بند c به آن اضافه شده است. ISO 27001:2022 در بند b سازمان را ملزم به تعریف الزامات ذینفعان میکند و در بند c سازمان را الزام می‌کند تا مشخص نماید که کدام یک از این الزامات توسط سیستم مدیریت امنیت اطلاعات پوشش داده خواهند شد.
    توضیح: استاندارد نسخه جدید، سعی در ایجاد شفافیت بیشتر در شناسایی و درک الزامات و نیازمندی‌های طرف‌های ذینفع و نیز پوشش‌دهی این الزامات در ISMS دارد.

  • بند 4-4 (سیستم مدیریت امنیت اطلاعات): در نسخه 2022 استاندارد ایزو 27001 صریحا اشاره شده که استقرار ISMS باید دربرگیرنده “فرایندهای مورد نیاز و تعامل میان آنها” باشد.
    توضیح: در این نسخه همانطور که در تغییرات مرتبط با بند 8-1 هم خواهیم دید استاندارد توجه ویژه‌ای به “فرایندهای مورد نیاز جهت تحقق سیستم”، دارد.

  • بند 6-2 (اهداف امنیت اطلاعات و برنامه‌ریزی دستیابی به آنها): به غیر از تغییر بسیار کوچکی که در عنوان این بند اتفاق افتاده، تغییرات مختصری نیز در محتوای آن رخ داده است. این بند در ورژن 2013 شامل 10 زیربند از a تا j بوده است ولیکن در نسخه 2022 دو زیر بند به آنها اضافه شده است. بندهای اضافه شده الزاماتی را به اهداف امنیت اطلاعات افزوده است. یکی از این موارد “پایش کردن اهداف” و دیگری “در دسترس بودن اهداف به عنوان اطلاعات مستند” است.
    توضیح: همانطور که ملاحظه میشود این استاندارد با افزودن این دو الزام، مشخصا اهمیت خاصی برای تعیین، پیگیری و بالاخص پایش اهداف امنیت اطلاعات قائل شده است.

  • بند 6-3 (برنامه ریزی تغییرات): این بند در نسخه سال 2013 وجود نداشت و بند تازه وارد به استاندارد ایزو 27001 در نسخه 2022 است. محتوای این بند دقیقا عبارتست از: “هنگامی که سازمان نیاز به تغییرات در سیستم مدیریت امنیت اطلاعات را تشخیص دهد، تغییرات باید با برنامه‌ریزی انجام شوند”.
    توضیح: توجه به مدیریت تغییرات پیش از این در استاندارد نسخه 2013 بطور ملموسی در پیوست الف و در قالب کنترل‌های امنیتی مشاهده می‌شد. لیکن در نسخه 2022 ایزو 27001 توجه ویژه‌ای به مدیریت تغییرات در الزامات عمومی و در فرایند پیاده‌سازی و نگهداشت ISMS شده است.

  • بند 7-4 (ارتباطات): این بند در نسخه 2013 شامل 5 زیربند از a تا e بوده است که در نسخه 2022 به 4 زیربند کاهش یافته است. در نسخه جدید الزام اینکه “چه کسی باید ارتباطات را برقرار نماید” و نیز الزام “فرآیندهایی که به وسیله آنها ارتباطات باید انجام شود” حذف شده و بجای آن الزام “چگونگی برقراری ارتباطات” افزوده شده است.
    توضیح: در ISO 27001:2022 بیشتر به اصل “ارتباطات” و چابک سازی آن اهمیت داده شده است.

  • بند 8-1 (برنامه‌ریزی و کنترل عملیاتی): در ISO 27001:2022 دو الزام به فرایندهای مورد نیاز جهت تحقق الزامات امنیت اطلاعات اضافه شده است. این دو الزام شامل “تعیین معیارهایی برای فرایندها” و نیز “کنترل فرایندها بر اساس معیارها” می‌شود. همچنین در ادامه این بند برخلاف نسخه 2013 که تمرکز استاندارد فقط بر روی فرایندهای برونسپاری شده بود، در این نسخه علاوه بر فرایندها، “خدمات و محصولات” برونسپاری شده نیز باید تحت کنترل قرار گیرند.
    توضیح: در نسخه جدید، استاندارد به دنبال ضمانتهای بیشتری برای تحقق فرایندهای مورد نیاز امنیت اطلاعات است. تمرکز بر تعیین فرایندها و تعامل میان آنها در بند 4-4 نیز نشان از اهمیت ویژه فرایندها در نسخه 2022 ایزو 27001 است.

  • بند 9-1 (پایش، اندازه‌گیری، تحلیل و سنجش): به زیر بند b در بند 9-1 یک جمله اضافه شده است. این الزام عبارتست از “روش‌های انتخاب‌شده برای پایش، اندازه‌گیری، تحلیل و سنجش باید نتایج قابل مقایسه و تکرارپذیری تولید کنند تا معتبر تلقی شوند.” این جمله در نسخه قبلی بصورت یک “توجه” در نظر گرفته شده بود.
    توضیح: این بند تغییر مفهومی و محتوایی محسوسی نداشته و فقط از نظر ساختاری دچار تغییر کوچکی شده است.

  • بند 9-2 (ممیزی داخلی): این بند تقریبا هیچ تغییر محتوایی خاصی نداشته است و فقط ساختار آن تغییر کرده است. دو زیر بند 9-2-1 (کلیات) و 9-2-2 (برنامه ممیزی داخلی) به این بند اضافه شده و الزامات قبلی در قالب این دو زیربند جدید قرار گرفته است.
    توضیح: این بند تغییر مفهومی و محتوایی محسوسی نداشته و فقط از نظر ساختاری دچار تغییر کوچکی شده است.

  • بند 9-3 (بازنگری مدیریت): این بند از استاندارد در نسخه 2022 هم دچار تغییر ساختاری شده و هم از نظر محتوایی تغییر مختصری پیدا کرده است. از منظر ساختاری بند 9-3 به سه زیر بند 9-3-1 (کلیات)، 9-3-2 (ورودی‌های بازنگری مدیریت) و 9-3-3 (نتایج بازنگری مدیریت) تقسیم بندی شده است. اما از نظر محتوایی تغییر زیادی رخ نداده و فقط در بخش ورودی‌های بازنگری مدیریت، یک زیر بند با عنوان “تغییرات در موضوعات بیرونی و درونی مرتبط با سیستم مدیریت امنیت اطلاعات” اضافه شده است و این نکته به این معناست که در بازنگری مدیریت، این تغییرات نیز باید در نظر گرفته شود.
    توضیح: این بند در نسخه جدید استاندارد از نظر ظاهری ساختارمند تر شده و توجه ویژه‌ای نیز به موضوعات بیرونی و درونی مرتبط با ISMS در فرایند مدیریت سیستم شده است.

  • بند 10 (بهبود): این بند هیچگونه تغییر محتوایی نداشته است و فقط ساختار آن تغییر کرده است. فقط جای زیر بند 10-1 (بهبود مستمر) با زیر بند 10-2 (عدم انطباق و اقدام اصلاحی) عوض شده است.
    توضیح: این بند تغییر محتوایی نداشته و فقط از نظر ساختاری دچار تغییر کوچکی شده است.

بادبان، نرم افزار هوشمند ISMS و مدیریت ریسک مطابق ایزو 27005

بادبان، سامانه نرم‌افزاری هوشمندیست که بوسیله آن می‌توانید فرایند استقرار ISMS را به آسانی طی نمایید.

تغییرات استاندارد ISO 27001 در پیوست الف (Annex A)

پیوست الف استاندارد برای همراستایی با استاندارد ISO 27002:2022 بازنگری شده است. کنترل‌های پیوست الف در ادامه مورد بررسی قرار گرفته اند. در نسخه جدید، ترتیب کنترل‌ها تغییر کرده و به‌روز شده‌اند. برخی از کنترل ها ادغام یا حذف و برخی نیز اضافه شده‌اند. نسخه 2022 شامل 93 کنترل است در حالیکه نسخه 2013 مشتمل بر 114 کنترل بود. همچنین در نسخه جدید کنترل‌ها در 4 گروه تقسیم شده‌اند در حالیکه در نسخه قبلی 14 حوزه وجود داشت.

4 گروه کنترلی در ISO 27001:2022 عبارتند از:

  • سازمانی (37 کنترل)
  • انسانی (8 کنترل)
  • فیزیکی (14 کنترل)
  • فناورانه (34 کنترل)

کنترل‌هایی که کاملا جدید هستند عبارتند از:

  • هوش تهدید
  • امنیت اطلاعات برای استفاده از خدمات ابری
  • آمادگی ICT برای تداوم کسب و کار
  • نظارت بر امنیت فیزیکی
  • مدیریت پیکربندی
  • حذف اطلاعات
  • داده پوشی (Data Masking)
  • جلوگیری از نشت داده‌ها
  • فعالیت‌های نظارتی
  • فیلتر کردن وب
  • کد نویسی امن
نکاتی در مورد تغییرات استاندارد ISO 27002:2022

همانطور که در بالا اشاره شد، پیوست الف استاندارد ISO 27001:2022 کاملا همسو و همراستا با استاندارد ISO 27002:2022 است. بنابراین بیان چند نکته در خصوص تغییرات نسخه 2022 ایزو 27002 میتواند جالب باشد. موضوع اول اینکه عبارت code of practice (راهنمای اجرایی) از عنوان این استاندارد حذف شده است. این موضوع نشان میدهد که ایزو 27002 در نسخه جدید خود قصد دارد به عنوان مرجع کنترل‌های امنیت اطلاعات معرفی شود. نکته دیگر اینکه حجم نسخه جدید به میزان مشهودی نسبت به نسخه قبل افزایش یافته و راهنماهای کامل‌تر و مفصل‌تری نسبت به نسخه قبلی برای هر کنترل ارائه شده است.

در این نسخه برای کنترل‌ها 5 نوع ویژگی در نظر گرفته شده است که منجر به سهولت بیشتر دسته‌بندی کنترل‌های میشود. این ویژگی‌ها عبارتند از:

  • نوع کنترل (پیشگیرانه، تشخیصی، اصلاحی)
  • خصیصه امنیت اطلاعات (محرمانگی، یکپارچگی، دسترس‌پذیری)
  • مفاهیم امنیت سایبری (شناسایی، حفاظت، تشخیص، پاسخ‌گویی، بازیابی)
  • قابلیت های عملیاتی (حاکمیت، مدیریت دارایی و غیره)
  • حوزه های امنیتی (حاکمیت و اکوسیستم، حفاظت، دفاع، تاب آوری)
تأثیرات تغییرات ایجاد شده بر سازمان‌هایی که در حال پیاده‌سازی ایزو 27001 هستند

احتمال کمی دارد که نهادهای صدور گواهینامه تا حداقل شش ماه پس از انتشار استاندارد نسخه جدید، گواهینامه ISO 27001:2022 را ارائه دهند و ISO 27001:2013 احتمالا زودتر از سه سال دیگر بازنشسته نخواهد شد. بنابراین نگران هدر رفتن کارهایی که برای پیاده‌سازی ISO 27001:2013 انجام داده‌اید، نباشید. همچنین با توجه به اینکه تغییرات عمده و بنیادین در الزامات اصلی سیستم پدید نیامده است، جای نگرانی کمتری برای انطباق با نسخه جدید وجود خواهد داشت.

بسته به اینکه پروژه پیاده سازی ISO 27001:2013 شما چقدر پیشرفت داشته است، ممکن است بخواهید یا بتوانید از کنترل‌های پیوست الف در نسخه جدید ISO 27001:2022 به عنوان کنترل‌های جایگزین استفاده نمایید. هرچند که توصیه میکنیم حتما مقایسه میان کنترل‌های جدید با کنترل‌های نسخه 2013 را مدنظر داشته باشید. شایان ذکر است که ISO 27002:2022 پیوستی دارد که کنترل‌های آن را با کنترل‌های نسخه 2013 مقایسه کرده است. این مقایسه میتواند کمک خوبی برای شما جهت تطبیق کنترل‌های قبلی با کنترل‌های جدید باشد.

مشاورین شرکت داده پردازان آبشار آماده‌اند تا تمام الزامات و ملاحظاتی را که باید برای تغییر یا گذار از نسخه قبلی به نسخه جدید در نظر بگیرید در اختیار شما بگذارند.

تأثیرات تغییرات ایجاد شده بر سازمان‌هایی که قبلا گواهینامه ISO 27001:2013 را دریافت کرده‌اند

طبق قواعد مرسوم سازمان‌های صدور گواهی بین‌المللی، یک دوره انتقال سه ساله برای سازمان‌های دارای گواهی وجود دارد تا سیستم مدیریت خود را برای مطابقت با نسخه جدید ISO 27001 بازبینی کنند. بنابراین فرصت کافی برای ایجاد تغییرات لازم برای شما وجود دارد. با این حال برخی از سازمان‌های صدور گواهی‌ و یا مرکز راهبردی افتا به عنوان متولی اصلی صدور گواهی برای سازمان‌های دارای زیرساخت حیاتی و حساس کشور، ممکن است قبل از سررسید سه ساله، صدور گواهینامه برای استاندارد نسخه 2013 را متوقف کنند. از این رو لازم است که بررسی و پیگیری لازم در این خصوص را داشته باشید. البته ما به هیچ عنوان توصیه نمیکنیم که به‌روز رسانی ISMS خود را تا روزهای پایانی نزدیک شدن به سررسید به تعویق اندازید. چنانچه قصد تمدید گواهینامه خود در طول دوره انتقال را دارید پیشنهاد میکنیم که سیستم خود را هرچه سریعتر با الزامات و به خصوص کنترل‌های جدید در نسخه 2022 تطبیق دهید.

برای دریافت آخرین اطلاعات از روند تصمیمات اتخاذ شده توسط مراکز صدور گواهی و مرکز راهبردی افتا در خصوص وضعیت گواهینامه‌های صادره میتوانید با مشاورین شرکت داده پردازان آبشار در تماس باشید.

تعداد بازدیدها: 1,406

این مطالب را هم بخوانید

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

برای امنیت، استفاده از سرویس reCAPTCHA گوگل مورد نیاز است که موضوع گوگل است Privacy Policy and Terms of Use.

من با این شرایط موافق هستم .

در دوره‌های آموزشی رایگان شرکت کنید

منابع مورد نیاز خود را دانلود کنید

Scroll to Top
اسکرول به بالا