تغییرات عمده در استاندارد ISO/IEC 27001:2022 و ISO/IEC 27002:2022 و دوره انتقال به نسخه جدید
۱۴۰۰/۱۲/۱۱
تغییرات عمده در استاندارد ISO/IEC 27001:2022 و ISO/IEC 27002:2022 و دوره انتقال به نسخه جدید
چکیده:
این مقاله برای سازمان ها و شرکت ها در هر نوع و اندازه، کاربرد دارد و سعی ما این بوده است که یک متن راهنما برای شفافسازی تغییرات ایجاد شده در نسخه 2022 استاندارد ایزو 27001 و ایزو 27002 تهیه کنیم تا دوره گذار به نسخه جدید را برای سازمان ها و شرکت ها بطور خلاصه و با بیانی گویا توضیح دهیم. جهت ساده سازی و روشن شدن مطلب، تصمیم گرفتیم که تغییرات اعمال شده در نسخه جدید را در قالب سوال و جواب آماده کنیم تا توانسته باشیم به سوالاتی که در ذهن مدیران و مشاوران وجود دارد، پاسخ دهیم.
بخش اول: مقدمه
در این مقاله به مهمترین سوالات رایج که در خصوص تغییرات نسخه 2022 و دوره انتقال به این نسخه، مکررا پرسیده می شود، پاسخ می دهیم. شایان ذکر است اولین نسخه این استاندارد در سال 2005 منتشر شد و بروز رسانی این استاندارد در دوره های 8 ساله انجام می شود که در این راستا، دومین نسخه در سال 2013 منتشر شد و هم اکنون با 2 سال تاخیر، شاهد انتشار نسخه 2022 هستیم. در این مقاله، تلاش ما این بوده است که تغییرات عمده و دوران گذار به نسخه 2022 را با بیانی واضح و در قالب سوالاتی که مکرراً در این خصوص پرسیده می شود، توضیح دهیم و یک منبع مختصر و مفیدی را فراهم کنیم.
لیستی از تغییرات عمده به شرح زیر است و در ادامه به توضیح هر یک از این موارد و سایر مطالب تکمیلی میپردازیم:
1- الزامات اصلی 27001 ISO یعنی بند ها ی 4 تا 10 تغییر نمی کند.
2- فقط کنترل های امنیتی فهرست شده در 27001 ISO پیوست A به روز خواهند شد.
3- تعداد کنترل ها از 114 به 93 کاهش یافته است که واحد تحقیق و توسعه شرکت امن افزار گستر آپادانا، توضیح این کنترل ها و اهداف آنها را در کتابچه ای با عنوان "کنترل های امنیت اطلاعات درISO/IEC 27002:2022" تقدیم می کند.
4- کنترل ها به جای 14 سرفصل کنترلی در 4 بخش قرار می گیرند.
5- 11 تا کنترل جدید اضافه شده است، در حالی که هیچ یک از کنترل های قبلی حذف نشده اند بلکه این کنترل ها ادغام شده اند.
این لیست در شکل 1 بطور خلاصه نشان داده شده است.
شکل (1): تغییرات عمده در نسخه 2022 استاندارد ایزو 27001 و ایزو 27002
بخش دوم: سوالاتی که مکرراً پرسیده می شوند
1) دقیقا چه چیزی در ISO 27001:2022 و ISO 27002:2022 تغییر می کند؟
پاسخ:
الزامات اصلی 27001 ISO یعنی بندهای 4 تا 10 تغییر نمی کند. این بندها شامل:
4- زمینه سازمان، محدوده و دامنه، طرف های ذینفع و انتظارات،
5- رهبری، خط مشی امنیت اطلاعات،
6- شناسایی دارایی ها و مدیریت ریسک،
7- منابع، آموزش و آگاهی رسانی، ارتباطات، کنترل مستندات،
8- عملکرد کنترل ها و اجرای مقابله با ریسک،
9- پایش و سنجش، ممیزی داخلی، بازنگری مدیریت،
10- اقدامات اصلاحی، بهبود مستمر.
فقط کنترل های امنیتی فهرست شده در 27001 ISO پیوست A و در 27002 ISO به روز می شوند.
به طور کلی، تغییرات متعادل هستند و اساساً برای ساده سازی اجرا و پیاده سازی ایجاد شده اند: تعداد کنترل ها از 114به 93 کا هش یافته است و به جای 14سرفصل کنترلی در 4 بخش قرار می گیرند. 11 تا کنترل جدید اضافه شده است، در حالی که هیچ یک از کنترل ها حذف نشده است بلکه در همدیگر ادغام شده اند.
تغییرات 27001:2022 ISO پیوست A به طور کامل با تغییرات 27002:2022 ISO مطابقت دارد، جزئیات تغییرات در کنترل ها را واحد تحقیق و توسعه شرکت امن افزار گستر آپادانا در کتابچه ای با عنوان "کنترل های امنیت اطلاعات در ISO/IEC 27002:2022" تقدیم می کند.
2) تفاوت بین ISO 27002 وISO 27001 چیست؟
پاسخ:
27001 ISO استاندارد اصلی است و شرکت ها و سازمان ها این گواهی نامه استاندارد را دریافت می کنند. شرکت ها و سازمان ها نمی توانند برای 27002:2022 ISO گواهی بگیرند زیرا این استاندارد تنها یک استاندارد پشتیبانی و راهنمایی است.
در ضمیمه A در 27001ISO فقط فهرستی از کنترل های امنیتی ارائه می شود، اما توضیح نمی دهد که چگونه میتوان آنها را پیاده سازی کرد. 27002 ISO همان کنترل ها را فهرست می کند و راهنمایی در مورد نحوه اجرا و پیاده سازی آنها ارائه می دهد. با این حال، این راهنمایی در 27002 ISO اجباری نیست، به عنوان مثال، شرکت ها و سازمان ها می توانند تصمیم بگیرند که آیا از این دستورالعمل ها استفاده کنند یا خیر.
3) این تغییرات چه زمانی انجام می شود؟
پاسخ:
27002 ISO در 15 فوریه 2022 به روز شد و پیوست A در 27001ISO با این تغییرات هماهنگ خواهد شد.
به روز رسانی های 27001 ISO پیوست A در طول سال 2022 اتفاق می افتد، تاریخ هنوز اعلام نشده است.
4) ما می خواهیم اجرای 27001 ISO راشروع کنیم، آیا منتظر انتشار تغییرات بمانیم یا باید هم اکنون شروع کنیم؟
پاسخ:
اگر کارفرمای فعلی یا بالقوه شما از شما انتظار دارد که گواهینامه دریافت کند، باید در اسرع وقت شروع کنید. اگر می توانید با پروژه خود تا پایان سال 2022 صبر کنید، می توانید منتظر استاندارد به روز شده باشید.
به عبارت دیگر، این تصمیم هیچ ارتباطی با استانداردها ندارد و این بستگی به اینکه چقدر سریع به گواهی 27001 ISO نیاز دارید، دارد.
5) اگر اکنون با اجرای 27001 ISO شروع کنیم، آیا با مجموعه کنترل های جدید پیش می رویم یا کنترلهای موجود (قدیمی)؟
پاسخ:
از آنجایی که تغییرات 27001 ISO هنوز منتشر نشده است، باید از کنترل های موجود (قدیمی) شروع کنید.
از آنجایی که تغییرات در کنترل ها متعادل هستند، و شما زمان زیادی برای به روزرسانی مستندات برای کنترل های جدید نخواهید داشت (به پاسخ سوال بعدی مراجعه کنید)، انتقال به کنترل های جدید، نیاز به یک فعالیت جزئی خواهد داشت.
6) ما قبلا 27001 ISO را پیاده سازی کرده ایم، چه چیزی را باید در اسناد خود تغییر دهیم؟
پاسخ:
تغییرات در استانداردها بیشتر در مورد سازماندهی مجدد کنترل ها است، بنابراین هیچ تغییری در فناوری، مورد نیاز نخواهد بود، فقط به تغییرات در اسناد نیاز است.
از آنجایی که تغییرات متعادل هستند، پیشنهاد ما این است که اسناد جدید اضافه نکنید یا هیچ یک از اسناد موجود را حذف نکنید.
به نظر ما بهترین راه برای رعایت این تغییرات:
1- به روز رسانی فرآیند برطرف سازی ریسک ها با کنترل های جدید.
2- به روز رسانی بیانیه کاربرد پذیری (SOA).
3- تطبیق بخش های خاصی در خط مشی ها و رویه های موجود خود.
7) چه زمانی باید اسناد خود را تغییر دهیم؟
پاسخ:
دوره انتقال این تغییرات هنوز منتشر نشده است، اما احتمالاً 2 سال از تاریخ به روز رسانی رسمی ISO 27001:2022 فرصت خواهیم داشت.
بنابراین، زمان زیادی برای انطباقات خواهیم داشت.
8) آیا مرجع صدور گواهی نامه نیاز به بررسی تغییرات در اسناد دارد؟
پاسخ:
بله، اگرشرکت یا سازمان شما دارای گواهی باشد، سازمان صدور گواهی بررسی می کند که آیا اسناد خود را در دوره انتقال تطبیق داده اید یا خیر.
نیازی به برنامه ریزی ممیزی جدید نخواهد بود زیرا آنها این کار را در طول ممیزیهای نظارتی انجام میدهند.
9) این تغییر برای گواهی نامه سرممیزی و گواهی نامه پیاده سازی 27001 ISO که دریافت کردهاید به چه معناست؟
پاسخ:
از آنجایی که الزامات اصلی 27001 ISO تغییر نخواهد کرد، گواهینامههای 27001 ISO شخصی شما معتبر باقی می مانند و نیازی به آموزش اضافی نخواهید داشت.
بخش سوم: نتیجه گیری
در این مقاله سعی کردیم به سوالاتی که در ذهن مدیران و مشاوران سازمان ها و شرکت ها در خصوص تغییرات اساسی در نسخه 2022 استاندارد و دوران گذار به این نسخه بود را پاسخ دهیم و یک منبع مختصر و مفیدی را فراهم کنیم. شایان ذکر است توضیحات و راهنمایی های ارائه شده در این مقاله را در برخی از اسناد خانواده ایزو 27000 نیز مانند ایزو 27017 و ایزو 27018 و غیره مشابهاً می توان اعمال کرد که ما در این مقاله به تشریح اسناد استاندارد ایزو 27001 و ایزو 27002 پرداختیم.
واحد تحقیق و توسعه، شرکت امن افزار گستر آپادانا - دپارتمان استاندارد های امنیت اطلاعات
مقالات مرتبط
اشتراک در :