در این مقاله قصد داریم با توجه به انتشار نسخه جدید استاندارد ISO 27001:2022، شما را با تغییرات پدید آمده در این استاندارد در مقایسه با نسخه سال 2013 آن آشنا کنیم. همچنین در این نوشته به پیامدهای این تغییرات بر سازمانهایی که در حال پیادهسازی این استاندارد هستند و یا پیش از این گوهینامه استقرار این سیستم مدیریتی را دریافت کردهاند خواهیم پرداخت. این مقاله برای سازمانهایی که پیش از این استاندارد ISO 27001:2013 را پیادهسازی کردهاند و قصد گذار از نسخه سال 2013 به 2022 را دارند و یا در حال پیادهسازی این استاندارد هستند، مفید خواهد بود. همچنین این نوشته میتواند برای مشاورین و مجریان استقرار استاندارد ایزو 27001 و نیز علاقمندان و پژوهشگران این حوزه جالب توجه باشد.
معرفی و تاریخچه استاندارد ایزو 27001
ISO 27001 ارائهدهنده بهترین روشهای بینالمللی برای توسعه و نگهداری سیستم مدیریت امنیت اطلاعات (ISMS) است. این استاندارد به سازمانها کمک میکند تا محرمانگی، دسترسپذیری و یکپارچگی اطلاعات خود را حفظ نمایند. استاندارد سیستم مدیریت امنیت اطلاعات برای اولین بار توسط سازمان بین المللی استاندارد در سال 2005 منتشر شد. این استاندارد در سال 2013 بازنگری شد و مجددا در سال 2022 بهروز گردید. ساختار این استاندارد بین المللی از دو بخش اصلی تشکیل شده است. بخش اول که شامل الزامات عمومی است و دربرگیرنده بندهای 4 تا 10 است. بخش دوم که با عنوان پیوست الف (Annex A) شناخته میشود مشتمل بر کنترلهای امنیت اطلاعات است. در ادامه این مقاله به تغییرات رخ داده در هر دو بخش اصلی این استاندارد پرداخته میشود.
بندها و الزامات عمومی استاندارد ایزو 27001 شامل سرفصلهای زیر است:
- بند 4: زمینه سازمان
- بند 5: رهبری
- بند 6: طراحی
- بند 7: پشتیبانی
- بند 8: عملیات
- بند 9: سنجش عملکرد
- بند 10: بهبود
تغییر عنوان استاندارد ISO 27001
اولین تغییری که در این استاندارد به چشم میخورد، تغییر در عنوان آن است.
- عنوان استاندارد ISO/IEC 27001:2013:
Information technology – Security techniques – Information security management systems – Requirements
(فناوری اطلاعات – فنون امنیتی – سیستم های مدیریت امنیت اطلاعات – الزامات)
- عنوان استاندارد ISO/IEC 27001:2022:
Information security, cybersecurity and privacy protection – Information security management systems – Requirements
(امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی – سیستم های مدیریت امنیت اطلاعات – الزامات)
همانطور که مشخص است ایزو 27001 نسخه 2022 نگاهی جامعتر و فراگیرتر به الزامات امنیتی پیدا کرده و علاوه بر تمرکز بر “امنیت اطلاعات” بر امنیت سایبری و حفاظت از حریم خصوصی نیز متمرکز شده است.
تغییرات استاندارد ISO 27001 در بخش الزامات عمومی
هرچند در بخش الزامات عمومی ISO 27001:2022 تغییرات عمدهای نسبت به ورژن قبلی (نسخه 2013) نداشته است ولیکن تغییرات مختصری در الزامات ایجاد شده است. تغییراتی که در الزامات عمومی استاندارد پدید آمده مربوط به بندهای 4-2، 4-4، 6-2، 6-3، 7-4، 8-1، 1-9، 2-9، 9-3 و 10 است. در ادامه هر یک از این تغییرات معرفی و توضیحات مرتبط آورده شده است.
- بند 4-2 (درک نیازها و انتظارات ذینفعان): این بند از استاندارد در نسخه 2013 شامل دو زیر بند a و b بوده است که در نسخه 2022 به سه زیربند افزایش یافته و زیر بند c به آن اضافه شده است. ISO 27001:2022 در بند b سازمان را ملزم به تعریف الزامات ذینفعان میکند و در بند c سازمان را الزام میکند تا مشخص نماید که کدام یک از این الزامات توسط سیستم مدیریت امنیت اطلاعات پوشش داده خواهند شد.
توضیح: استاندارد نسخه جدید، سعی در ایجاد شفافیت بیشتر در شناسایی و درک الزامات و نیازمندیهای طرفهای ذینفع و نیز پوششدهی این الزامات در ISMS دارد. - بند 4-4 (سیستم مدیریت امنیت اطلاعات): در نسخه 2022 استاندارد ایزو 27001 صریحا اشاره شده که استقرار ISMS باید دربرگیرنده “فرایندهای مورد نیاز و تعامل میان آنها” باشد.
توضیح: در این نسخه همانطور که در تغییرات مرتبط با بند 8-1 هم خواهیم دید استاندارد توجه ویژهای به “فرایندهای مورد نیاز جهت تحقق سیستم”، دارد. - بند 6-2 (اهداف امنیت اطلاعات و برنامهریزی دستیابی به آنها): به غیر از تغییر بسیار کوچکی که در عنوان این بند اتفاق افتاده، تغییرات مختصری نیز در محتوای آن رخ داده است. این بند در ورژن 2013 شامل 10 زیربند از a تا j بوده است ولیکن در نسخه 2022 دو زیر بند به آنها اضافه شده است. بندهای اضافه شده الزاماتی را به اهداف امنیت اطلاعات افزوده است. یکی از این موارد “پایش کردن اهداف” و دیگری “در دسترس بودن اهداف به عنوان اطلاعات مستند” است.
توضیح: همانطور که ملاحظه میشود این استاندارد با افزودن این دو الزام، مشخصا اهمیت خاصی برای تعیین، پیگیری و بالاخص پایش اهداف امنیت اطلاعات قائل شده است. - بند 6-3 (برنامه ریزی تغییرات): این بند در نسخه سال 2013 وجود نداشت و بند تازه وارد به استاندارد ایزو 27001 در نسخه 2022 است. محتوای این بند دقیقا عبارتست از: “هنگامی که سازمان نیاز به تغییرات در سیستم مدیریت امنیت اطلاعات را تشخیص دهد، تغییرات باید با برنامهریزی انجام شوند”.
توضیح: توجه به مدیریت تغییرات پیش از این در استاندارد نسخه 2013 بطور ملموسی در پیوست الف و در قالب کنترلهای امنیتی مشاهده میشد. لیکن در نسخه 2022 ایزو 27001 توجه ویژهای به مدیریت تغییرات در الزامات عمومی و در فرایند پیادهسازی و نگهداشت ISMS شده است. - بند 7-4 (ارتباطات): این بند در نسخه 2013 شامل 5 زیربند از a تا e بوده است که در نسخه 2022 به 4 زیربند کاهش یافته است. در نسخه جدید الزام اینکه “چه کسی باید ارتباطات را برقرار نماید” و نیز الزام “فرآیندهایی که به وسیله آنها ارتباطات باید انجام شود” حذف شده و بجای آن الزام “چگونگی برقراری ارتباطات” افزوده شده است.
توضیح: در ISO 27001:2022 بیشتر به اصل “ارتباطات” و چابک سازی آن اهمیت داده شده است. - بند 8-1 (برنامهریزی و کنترل عملیاتی): در ISO 27001:2022 دو الزام به فرایندهای مورد نیاز جهت تحقق الزامات امنیت اطلاعات اضافه شده است. این دو الزام شامل “تعیین معیارهایی برای فرایندها” و نیز “کنترل فرایندها بر اساس معیارها” میشود. همچنین در ادامه این بند برخلاف نسخه 2013 که تمرکز استاندارد فقط بر روی فرایندهای برونسپاری شده بود، در این نسخه علاوه بر فرایندها، “خدمات و محصولات” برونسپاری شده نیز باید تحت کنترل قرار گیرند.
توضیح: در نسخه جدید، استاندارد به دنبال ضمانتهای بیشتری برای تحقق فرایندهای مورد نیاز امنیت اطلاعات است. تمرکز بر تعیین فرایندها و تعامل میان آنها در بند 4-4 نیز نشان از اهمیت ویژه فرایندها در نسخه 2022 ایزو 27001 است. - بند 9-1 (پایش، اندازهگیری، تحلیل و سنجش): به زیر بند b در بند 9-1 یک جمله اضافه شده است. این الزام عبارتست از “روشهای انتخابشده برای پایش، اندازهگیری، تحلیل و سنجش باید نتایج قابل مقایسه و تکرارپذیری تولید کنند تا معتبر تلقی شوند.” این جمله در نسخه قبلی بصورت یک “توجه” در نظر گرفته شده بود.
توضیح: این بند تغییر مفهومی و محتوایی محسوسی نداشته و فقط از نظر ساختاری دچار تغییر کوچکی شده است. - بند 9-2 (ممیزی داخلی): این بند تقریبا هیچ تغییر محتوایی خاصی نداشته است و فقط ساختار آن تغییر کرده است. دو زیر بند 9-2-1 (کلیات) و 9-2-2 (برنامه ممیزی داخلی) به این بند اضافه شده و الزامات قبلی در قالب این دو زیربند جدید قرار گرفته است.
توضیح: این بند تغییر مفهومی و محتوایی محسوسی نداشته و فقط از نظر ساختاری دچار تغییر کوچکی شده است. - بند 9-3 (بازنگری مدیریت): این بند از استاندارد در نسخه 2022 هم دچار تغییر ساختاری شده و هم از نظر محتوایی تغییر مختصری پیدا کرده است. از منظر ساختاری بند 9-3 به سه زیر بند 9-3-1 (کلیات)، 9-3-2 (ورودیهای بازنگری مدیریت) و 9-3-3 (نتایج بازنگری مدیریت) تقسیم بندی شده است. اما از نظر محتوایی تغییر زیادی رخ نداده و فقط در بخش ورودیهای بازنگری مدیریت، یک زیر بند با عنوان “تغییرات در موضوعات بیرونی و درونی مرتبط با سیستم مدیریت امنیت اطلاعات” اضافه شده است و این نکته به این معناست که در بازنگری مدیریت، این تغییرات نیز باید در نظر گرفته شود.
توضیح: این بند در نسخه جدید استاندارد از نظر ظاهری ساختارمند تر شده و توجه ویژهای نیز به موضوعات بیرونی و درونی مرتبط با ISMS در فرایند مدیریت سیستم شده است. - بند 10 (بهبود): این بند هیچگونه تغییر محتوایی نداشته است و فقط ساختار آن تغییر کرده است. فقط جای زیر بند 10-1 (بهبود مستمر) با زیر بند 10-2 (عدم انطباق و اقدام اصلاحی) عوض شده است.
توضیح: این بند تغییر محتوایی نداشته و فقط از نظر ساختاری دچار تغییر کوچکی شده است.
تغییرات استاندارد ISO 27001 در پیوست الف (Annex A)
پیوست الف استاندارد برای همراستایی با استاندارد ISO 27002:2022 بازنگری شده است. کنترلهای پیوست الف در ادامه مورد بررسی قرار گرفته اند. در نسخه جدید، ترتیب کنترلها تغییر کرده و بهروز شدهاند. برخی از کنترل ها ادغام یا حذف و برخی نیز اضافه شدهاند. نسخه 2022 شامل 93 کنترل است در حالیکه نسخه 2013 مشتمل بر 114 کنترل بود. همچنین در نسخه جدید کنترلها در 4 گروه تقسیم شدهاند در حالیکه در نسخه قبلی 14 حوزه وجود داشت.
4 گروه کنترلی در ISO 27001:2022 عبارتند از:
- سازمانی (37 کنترل)
- انسانی (8 کنترل)
- فیزیکی (14 کنترل)
- فناورانه (34 کنترل)
کنترلهایی که کاملا جدید هستند عبارتند از:
- هوش تهدید
- امنیت اطلاعات برای استفاده از خدمات ابری
- آمادگی ICT برای تداوم کسب و کار
- نظارت بر امنیت فیزیکی
- مدیریت پیکربندی
- حذف اطلاعات
- داده پوشی (Data Masking)
- جلوگیری از نشت دادهها
- فعالیتهای نظارتی
- فیلتر کردن وب
- کد نویسی امن
نکاتی در مورد تغییرات استاندارد ISO 27002:2022
همانطور که در بالا اشاره شد، پیوست الف استاندارد ISO 27001:2022 کاملا همسو و همراستا با استاندارد ISO 27002:2022 است. بنابراین بیان چند نکته در خصوص تغییرات نسخه 2022 ایزو 27002 میتواند جالب باشد. موضوع اول اینکه عبارت code of practice (راهنمای اجرایی) از عنوان این استاندارد حذف شده است. این موضوع نشان میدهد که ایزو 27002 در نسخه جدید خود قصد دارد به عنوان مرجع کنترلهای امنیت اطلاعات معرفی شود. نکته دیگر اینکه حجم نسخه جدید به میزان مشهودی نسبت به نسخه قبل افزایش یافته و راهنماهای کاملتر و مفصلتری نسبت به نسخه قبلی برای هر کنترل ارائه شده است.
در این نسخه برای کنترلها 5 نوع ویژگی در نظر گرفته شده است که منجر به سهولت بیشتر دستهبندی کنترلهای میشود. این ویژگیها عبارتند از:
- نوع کنترل (پیشگیرانه، تشخیصی، اصلاحی)
- خصیصه امنیت اطلاعات (محرمانگی، یکپارچگی، دسترسپذیری)
- مفاهیم امنیت سایبری (شناسایی، حفاظت، تشخیص، پاسخگویی، بازیابی)
- قابلیت های عملیاتی (حاکمیت، مدیریت دارایی و غیره)
- حوزه های امنیتی (حاکمیت و اکوسیستم، حفاظت، دفاع، تاب آوری)
تأثیرات تغییرات ایجاد شده بر سازمانهایی که در حال پیادهسازی ایزو 27001 هستند
احتمال کمی دارد که نهادهای صدور گواهینامه تا حداقل شش ماه پس از انتشار استاندارد نسخه جدید، گواهینامه ISO 27001:2022 را ارائه دهند و ISO 27001:2013 احتمالا زودتر از سه سال دیگر بازنشسته نخواهد شد. بنابراین نگران هدر رفتن کارهایی که برای پیادهسازی ISO 27001:2013 انجام دادهاید، نباشید. همچنین با توجه به اینکه تغییرات عمده و بنیادین در الزامات اصلی سیستم پدید نیامده است، جای نگرانی کمتری برای انطباق با نسخه جدید وجود خواهد داشت.
بسته به اینکه پروژه پیاده سازی ISO 27001:2013 شما چقدر پیشرفت داشته است، ممکن است بخواهید یا بتوانید از کنترلهای پیوست الف در نسخه جدید ISO 27001:2022 به عنوان کنترلهای جایگزین استفاده نمایید. هرچند که توصیه میکنیم حتما مقایسه میان کنترلهای جدید با کنترلهای نسخه 2013 را مدنظر داشته باشید. شایان ذکر است که ISO 27002:2022 پیوستی دارد که کنترلهای آن را با کنترلهای نسخه 2013 مقایسه کرده است. این مقایسه میتواند کمک خوبی برای شما جهت تطبیق کنترلهای قبلی با کنترلهای جدید باشد.
مشاورین شرکت داده پردازان آبشار آمادهاند تا تمام الزامات و ملاحظاتی را که باید برای تغییر یا گذار از نسخه قبلی به نسخه جدید در نظر بگیرید در اختیار شما بگذارند.
تأثیرات تغییرات ایجاد شده بر سازمانهایی که قبلا گواهینامه ISO 27001:2013 را دریافت کردهاند
طبق قواعد مرسوم سازمانهای صدور گواهی بینالمللی، یک دوره انتقال سه ساله برای سازمانهای دارای گواهی وجود دارد تا سیستم مدیریت خود را برای مطابقت با نسخه جدید ISO 27001 بازبینی کنند. بنابراین فرصت کافی برای ایجاد تغییرات لازم برای شما وجود دارد. با این حال برخی از سازمانهای صدور گواهی و یا مرکز راهبردی افتا به عنوان متولی اصلی صدور گواهی برای سازمانهای دارای زیرساخت حیاتی و حساس کشور، ممکن است قبل از سررسید سه ساله، صدور گواهینامه برای استاندارد نسخه 2013 را متوقف کنند. از این رو لازم است که بررسی و پیگیری لازم در این خصوص را داشته باشید. البته ما به هیچ عنوان توصیه نمیکنیم که بهروز رسانی ISMS خود را تا روزهای پایانی نزدیک شدن به سررسید به تعویق اندازید. چنانچه قصد تمدید گواهینامه خود در طول دوره انتقال را دارید پیشنهاد میکنیم که سیستم خود را هرچه سریعتر با الزامات و به خصوص کنترلهای جدید در نسخه 2022 تطبیق دهید.
نویسنده : سید علیرضا مهدوی
منبع : https://abshar.co/
دیدگاه خود را بنویسید