ISO/IEC 27001:2022 و ISO/IEC 27002:2022

استاندارد مدیریت امنیت اطلاعات ISO 27001 و استاندارد همراه آن ISO 27002 در سال 2022 به روز شد. این مقاله تغییرات قابل توجه ارائه شده توسط نسخه های جدید ISO 27001 و ISO 27002 را توضیح می دهد و چگونه این تغییرات بر سازمان هایی که گواهی نامه ایزو 27001 را دریافت کرده اند یا برای گرفتن آن برنامه ریزی می کنند تأثیر می گذارد.

تغییرات ISO/IEC 27001:2022

ISO 27001:2022 تفاوت قابل توجهی با ISO 27001:2013 ندارد، اما برخی تغییرات قابل توجه وجود دارد:

زمینه و دامنه

اکنون باید الزامات “مربوط” طرف های ذینفع را شناسایی کنید و تعیین کنید که از طریق ISMS (سیستم مدیریت امنیت اطلاعات) به آنها رسیدگی می شود.

ISMS اکنون به صراحت شامل “فرایندهای مورد نیاز و تعاملات آنها” است.

برنامه ریزی
اهداف امنیت اطلاعات اکنون باید تحت نظارت و «به عنوان اطلاعات مستند در دسترس» قرار گیرند.

بخش جدیدی در مورد برنامه ریزی تغییرات در ISMS وجود دارد. این هیچ فرآیندی را که باید شامل شود مشخص نمی کند، بنابراین باید تعیین کنید که چگونه می توانید نشان دهید که تغییرات در ISMS واقعاً برنامه ریزی شده است.

حمایت کردن
الزامات برای تعریف اینکه چه کسی با هم ارتباط برقرار می کند و فرآیندهای برقراری ارتباط با الزامی برای تعریف «نحوه برقراری ارتباط» جایگزین شده است.

عمل
الزام برای برنامه ریزی چگونگی دستیابی به اهداف امنیت اطلاعات با الزامی برای ایجاد معیارهایی برای فرآیندها برای اجرای اقدامات مشخص شده در بند 6 و کنترل آن فرآیندها در راستای معیارها جایگزین شده است.

سازمان‌ها اکنون ملزم به کنترل «فرآیندها، محصولات یا خدمات خارجی ارائه شده» مربوط به ISMS هستند و نه فقط فرآیندها.

عملکرد و ارزیابی
روش‌های نظارت، اندازه‌گیری، تجزیه و تحلیل و ارزیابی اثربخشی ISMS اکنون باید قابل مقایسه و تکرار باشند.

بررسی مدیریت اکنون باید تغییرات در نیازها و انتظارات طرف های ذینفع را نیز در نظر بگیرد.

پیوست A
پیوست A برای همراستایی با ISO 27002:2022 بازنگری شده است. کنترل‌های پیوست A در بخش زیر مورد بحث قرار گرفته‌اند.

تغییرات کنترلی در پیوست A چیست؟

برخی از کنترل‌های پیوست A ادغام یا حذف شده‌اند و برخی نیز اضافه شده‌اند:

  • ISO 27001:2022 93 کنترل را به جای 114 ISO 27001:2013 فهرست می کند.
  • این کنترل ها به جای 14 بند در 4 “موضوع” گروه بندی می شوند. آن ها هستند:
    • افراد (8 کنترل)
    • سازمانی (37 کنترل)
    • فن آوری (34 کنترل)
    • فیزیکی (14 کنترل)
  • کنترل های کاملا جدید عبارتند از:
    • هوش تهدید
    • امنیت اطلاعات برای استفاده از خدمات ابری
    • آمادگی ICT برای تداوم کسب و کار
    • نظارت بر امنیت فیزیکی
    • مدیریت پیکربندی
    • حذف اطلاعات
    • پوشش داده ها
    • جلوگیری از نشت داده ها
    • فعالیت های نظارتی
    • فیلتر کردن وب
    • کد نویسی ایمن
  • اکنون کنترل‌ها دارای پنج نوع «ویژگی» هستند تا دسته‌بندی آنها را آسان‌تر کند:
    • نوع کنترل (پیشگیرانه، کارآگاهی، اصلاحی)
    • ویژگی های امنیت اطلاعات (محرمانه بودن، یکپارچگی، در دسترس بودن)
    • مفاهیم امنیت سایبری (شناسایی، محافظت، شناسایی، پاسخ، بازیابی)
    • قابلیت های عملیاتی (حاکمیت، مدیریت دارایی و غیره)
    • حوزه های امنیتی (حکومت و اکوسیستم، حفاظت، دفاع، تاب آوری)

چه چیزی در ISO 27002 تغییر می کند؟

ابتدا عبارت “کد عمل” از عنوان استاندارد به روز شده ISO 27002 حذف شده است. این هدف خود را به عنوان مجموعه ای مرجع از کنترل های امنیت اطلاعات بهتر منعکس می کند.

استاندارد به طور قابل توجهی طولانی تر از نسخه قبلی است، و کنترل ها دوباره مرتب شده و به روز شده اند، همانطور که در بخش بالا بحث شد.

چگونه این امر بر سازمان هایی که ISO 27001 را اجرا می کنند تأثیر می گذارد؟

بعید است که نهادهای صدور گواهینامه برای حداقل شش ماه پس از انتشار استاندارد گواهینامه ISO 27001:2022 را ارائه دهند و ISO 27001:2013 تا سه سال دیگر بازنشسته نخواهد شد، بنابراین جای نگرانی نیست که هر کاری که برای پیاده سازی انجام داده اید وجود داشته باشد. ISO 27001:2013 به هدر رفته است.

بسته به میزان پیشرفت پروژه اجرای ISO 27001:2013، ممکن است بخواهید از کنترل‌های پیوست A جدید از ISO 27001:2022 به عنوان یک مجموعه کنترل جایگزین استفاده کنید، اگرچه هنوز باید اینها را با کنترل‌های پیوست A 2013 مقایسه کنید. بیانیه کاربرد شما

(ISO 27002:2022 ضمیمه ای دارد که کنترل های آن را با تکرار استاندارد سال 2013 مقایسه می کند، بنابراین این باید نسبتاً ساده باشد.) قبل از تمدید گواهینامه ISO 27001 خود پس از سه سال، باید ISMS خود را برای مطابقت با تکرار استاندارد 2022 تغییر دهید. ما همه چیزهایی را که برای اجرای ISMS مطابق با ISO 27001 و دریافت گواهینامه استاندارد نیاز دارید، در اختیار داریم.

این برای سازمان هایی که قبلاً گواهینامه ISO 27001:2013 را دریافت کرده اند به چه معناست؟

یک دوره انتقالی سه ساله برای سازمان‌های دارای گواهی وجود دارد تا سیستم مدیریت خود را برای مطابقت با نسخه جدید ISO 27001 بازبینی کنند، بنابراین زمان زیادی برای ایجاد تغییرات لازم برای شما وجود دارد. با این حال، برخی از سازمان‌های صدور گواهی‌نامه ممکن است قبل از آن زمان، ارائه گواهینامه به تکرار استاندارد سال 2013 را متوقف کنند، بنابراین بررسی اینکه آیا نیاز به انتقال زودتر دارید، ارزش دارد.

توصیه نمی شود که آن را تا آخرین لحظه برای انجام تعهدات جدید خود رها کنید، بنابراین اگر قرار است گواهینامه خود را در طول دوره انتقال تمدید کنید، می توانید بر خلاف مجموعه کنترل جدید کار کنید.

یکی از مزیت‌های پیاده‌سازی کنترل‌های جدید این است که از آنجایی که آن‌ها با ویژگی قابل شناسایی هستند، تمرکز بر انتخاب‌های شما آسان‌تر است، که می‌تواند بار انطباق را کاهش دهد یا به شما کمک کند نحوه ادغام بهتر فرآیندهای امنیتی خود را مشاهده کنید و در نتیجه اجرای ISMS را آسان‌تر کنید. و مدیریت کنید.

ما همه چیزهایی را که برای اجرای ISMS مطابق با ISO 27001 و دریافت گواهینامه استاندارد نیاز دارید، در اختیار داریم.

به این مقاله امتیاز دهید!
[Total: 0 Average: 0]

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیمایش به بالا
02146135223