استاندارد ایزو 27002 چیست

استاندارد ایزو 27002 (ISO/IEC 27002) یکی از استانداردهای کلیدی در حوزه مدیریت امنیت اطلاعات است. این استاندارد مکملی برای استاندارد ایزو 27001 محسوب می‌شود و مجموعه‌ای از کنترل‌ها (controls) و راهنمایی‌ها برای پیاده‌سازی امنیت اطلاعات ارائه می‌دهد.

📘 تعریف ایزو 27002:

ISO/IEC 27002:2022 (آخرین نسخه تا این تاریخ) استانداردی بین‌المللی است که راهنمایی‌هایی برای انتخاب، پیاده‌سازی و مدیریت کنترل‌های امنیت اطلاعات ارائه می‌دهد. این کنترل‌ها برای کاهش ریسک‌های امنیتی و محافظت از دارایی‌های اطلاعاتی طراحی شده‌اند.

🎯 کاربردهای ایزو 27002:

1. راهنمای عملیاتی برای ایزو 27001:
   • ایزو 27001 الزاماتی را برای سیستم مدیریت امنیت اطلاعات (ISMS) تعیین می‌کند، اما ایزو 27002 توضیح می‌دهد چگونه این الزامات را پیاده‌سازی کنیم.
2. پایه‌ای برای ایجاد خط‌مشی‌ها و دستورالعمل‌های امنیتی:
   • سازمان‌ها می‌توانند بر اساس کنترل‌های این استاندارد، سیاست‌ها و فرآیندهای امنیتی داخلی خود را تدوین کنند.
3. مرجع برای ارزیابی ریسک:
   • به سازمان‌ها کمک می‌کند تا کنترل‌های مناسب را براساس ارزیابی ریسک انتخاب کنند.
4. افزایش آگاهی و آموزش امنیت اطلاعات:
   • می‌تواند به عنوان منبع آموزشی برای کارکنان بخش فناوری اطلاعات یا امنیت اطلاعات استفاده شود.

📋 ساختار کلی استاندارد ایزو 27002:

ایزو 27002 شامل 93 کنترل امنیتی در 4 دسته اصلی است (در نسخه 2022):

1. سازمانی (Organizational)
2. افراد (People)
3. فیزیکی (Physical)
4. فناوری (Technological)

همچنین هر کنترل دارای موارد زیر است:

• هدف (Purpose)
• توضیح (Guidance)
• ملاحظات اجرایی (Implementation considerations)
• ویژگی‌های مرتبط مثل سطح ریسک، نوع کنترل (پیشگیرانه، شناسایی، واکنشی)، و ارتباط آن با سایر کنترل‌ها.

🏢 چه سازمان‌هایی از آن استفاده می‌کنند؟

تمام سازمان‌هایی که به دنبال:

• پیاده‌سازی یا بهبود امنیت اطلاعات
• دریافت گواهینامه ISO 27001
• یا صرفاً به دنبال مدیریت بهتر ریسک‌های اطلاعاتی هستند،
  می‌توانند از این استاندارد بهره ببرند — از شرکت‌های کوچک گرفته تا سازمان‌های دولتی و بین‌المللی.

آیا می توان گواهینامه ایزو 27002 را دریافت کرد؟

نه، ایزو 27002 به‌تنهایی قابل صدور گواهینامه نیست.

🔍 چرا؟

چون ISO/IEC 27002 یک استاندارد راهنما (guidance) است، نه یک استاندارد دارای الزامات (requirements).
این یعنی ایزو 27002 به شما می‌گوید چه کنترل‌هایی را چطور پیاده‌سازی کنید، اما خودش الزاماتی برای سیستم مدیریتی ندارد که بتوان بر اساس آن ممیزی و گواهینامه صادر کرد.

✅ چه استانداردی گواهی‌پذیر است؟

برای دریافت گواهینامه، باید از استاندارد ISO/IEC 27001 استفاده کرد. این استاندارد:

• الزامات یک سیستم مدیریت امنیت اطلاعات (ISMS) را تعریف می‌کند،
• و ممکن است توسط نهادهای معتبر گواهی‌دهی، ممیزی و گواهی شود.

در واقع، وقتی می‌خواهید گواهینامه ایزو در حوزه امنیت اطلاعات بگیرید، باید ایزو 27001 را پیاده‌سازی کنید،
و در آن‌جا به کمک کنترل‌های ایزو 27002، نشان می‌دهید که الزامات امنیتی را چگونه اجرا کرده‌اید.

---

🧩 خلاصه تفاوت‌ها:

ویژگی	ISO 27001	ISO 27002
نوع استاندارد	الزامی (Requirements)	راهنما (Guidelines)
گواهی‌پذیر	✅ بله	❌ نه
تمرکز اصلی	سیستم مدیریت امنیت اطلاعات (ISMS)	کنترل‌ها و پیاده‌سازی آن‌ها
ارتباط	استاندارد اصلی برای دریافت گواهینامه	مکمل و راهنما برای اجرای کنترل‌ها در ISO 27001

❌ آیا می‌توان گواهینامه ISO 27002 گرفت؟

خیر، ISO 27002 گواهی‌پذیر نیست چون صرفاً یک راهنماست.
برای دریافت گواهینامه، باید از استاندارد ISO 27001 استفاده کرد که الزامات سیستم مدیریت امنیت اطلاعات را مشخص می‌کند.

✅ نکات تکمیلی:

• ایزو 27002 به تنهایی کافی نیست، ولی ابزار بسیار قدرتمندی برای اجرای مؤثر ISO 27001 است.
• می‌توان از آن به‌عنوان مرجع آموزشی برای کارکنان، مشاوران و تیم‌های امنیت اطلاعات استفاده کرد.
• در پروژه‌های مدیریت ریسک، بسیار مفید است چون برای هر کنترل، راهنمایی‌هایی جهت ارزیابی ریسک و انتخاب مناسب ارائه می‌دهد.
• نسخه 2022 این استاندارد با رویکردی مدرن‌تر و ساختارمندتر نسبت به نسخه‌های قبلی طراحی شده و با نیازهای امروزی سازگارتر است.

سوالات و نظرات خود را در ارتباط با استاندارد ایزو 27002 با ما به اشتراک بگذارید.

جهت اخذ انواع گواهینامه های ایزو معتبر و هچنین گواهی نامه های ملی می توانید از طریق WhatsApp با ما ارتباط بگیرید و از مشاوره رایگان متخصصین مرکز مشاوره و اطلاع رسانی ایزوگت بهرمند شوید.