ایزو 27032 نسخه 2023: بهبود امنیت سایبری

در این مقاله که به طور اختصاصی توسط تیم ایران گواه نگارش شده است به ایزو 27032 نسخه 2023 خواهیم پرداخت. در دنیای دیجیتال امروز، اهمیت اقدامات امنیت سایبری قوی به ویژه برای عموم مردم بی‌نظیر است. با گسترش تهدیدات سایبری، سازمان‌ها با چالش‌های عظیمی در حفاظت از اطلاعات و دارایی‌های خود در مقابل خطرات مبتنی بر اینترنت مواجه هستند.

سازمان‌های بین‌المللی استاندارد (ISO) و کمیسیون بین‌المللی الکتروتکنیکی (IEC) با درکی از روند تغییرات مستمر در چشم‌انداز تهدیدات، استاندارد ISO/IEC 27032 را که توسط کمیته فنی مشترک ISO/IEC JTC 1 در حوزه فناوری اطلاعات تهیه شده بود، به‌طور قابل توجهی به‌روزرسانی کرده‌اند. این تلاشها به منظور هدایت سازمان‌ها در کاهش خطرات و تقویت توانایی دفاع در برابر چالش‌های دیجیتالی تمرکز دارد. نسخه جدید ISO/IEC 27032:2023 بهبودهای مهمی را از جمله ارزیابی ریسک بهبودیافته، به سازمان‌ها ارائه می‌دهد تا بتوانند به خوبی با چالش‌ها مقابله کنند و بهبودهای لازم در سیستم‌های اطلاعاتی خود ایجاد کنند.

ایزو 27032 نسخه 2023

امنیت اینترنت چه معنایی دارد و چرا باید به آن توجه کنیم؟

امنیت اینترنت از طریق اقدامات و تدابیری که برای محافظت از تراکنش‌ها، فعالیت‌ها و داده‌های آنلاین انجام می‌شود، نقش بسیار مهمی در زندگی ما در دنیای دیجیتالی ایفا می‌کند. با افزایش تعداد حملات سایبری و ادامه گرایش به تبادل اطلاعات حساس در فضای آنلاین، تدابیر امنیتی به منظور مقابله با تهدیداتی چون دسترسی غیرمجاز، بدافزار و سرقت هویت، اهمیت بیشتری پیدا می‌کنند.

باید توجه داشت که اینترنت در ابتدا با توجه به نیازمندی‌های امنیتی طراحی نشده بود و به همین دلیل آسیب‌پذیری‌های زیادی در برابر تهدیدات امنیتی داشت. با ظهور اینترنت اشیا (IoT) و افزایش ارتباط دستگاه‌ها با یکدیگر، چالش‌های امنیتی به تداوم افزایش یافته‌اند. به علاوه، پیشرفت فناوری منجر به ظهور روش‌های جدید حملات مانند فیشینگ و جاسوس‌افزار شده است که توسط افراد بدنام برای تحقق منافع شخصی یا اهداف جنایی استفاده می‌شوند.

دسترسی گسترده به اینترنت در سطح جهانی و نقش سهامداران در فعالیت‌های آنلاین، خطرات امنیتی پیچیده‌ای را به وجود آورده است که برای مقابله با آن نیازمند همکاری بین اقشار مختلف جامعه فنی و حقوقی هستیم. با تلاش‌های هماهنگ و اجرای استراتژی‌های جهانی، می‌توانیم به چالش‌های امنیتی اینترنتی پاسخ دهیم و محیط آنلاین را برای همه کاربران بهبود بخشیم.

تلاش برای امنیت اینترنت در مقابل امنیت سایبری

در جهت حفاظت از دنیای دیجیتالی ما، امنیت اینترنت و امنیت سایبری همگام عمل می‌کنند. این دو دسته از تدابیر به هم مرتبط هستند و هدفشان حفاظت از سیستم‌ها و فضاهای آنلاین در برابر تهدیدات و آسیب‌پذیری‌های مختلف است. امنیت اینترنت به خصوص به مفهوم ایمنی دسترسی و استفاده از اینترنت می‌پردازد و در برابر خطرات مرتبط با خدمات آنلاین و سیستم‌های فناوری اطلاعات و ارتباطات (ICT) حفاظت می‌کند.

در مقابل، امنیت سایبری شامل یک طیف گسترده‌تری از مسائل است. این نگاه جامع به امنیت شامل سیستم‌های متصل به اینترنت – از جمله سخت‌افزار، نرم‌افزار، برنامه‌ها و داده‌ها – را در برابر حملات ممکن و آسیب‌پذیری‌های احتمالی محافظت می‌کند. امنیت سایبری تمرکز می‌کند تا مفاهیمی چون امنیت اینترنت، امنیت شبکه و حفاظت از داده‌ها را به طور جامع و هماهنگ مورد بررسی و اجرا قرار دهد.

ISO/IEC 27032:2012

استاندارد بین‌المللی ISO/IEC 27032:2012، که به نام “فناوری اطلاعات – تکنیک‌های امنیتی – دستورالعمل‌های امنیت سایبری” هم شناخته می‌شود، به خصوص بر امنیت سایبری تمرکز می‌کند و به سازمان‌ها راهنمایی جامع در زمینه مدیریت و کاهش خطرات سایبری ارائه می‌دهد. این استاندارد نقش حیاتی امنیت سایبری را در چشم‌انداز دیجیتال امروزی تأیید می‌کند و یک رویکرد سیستماتیک برای مدیریت امنیت سایبری ارائه می‌دهد.

در این نسخه از استاندارد، حوزه‌های مختلف و حیاتی امنیت سایبری را پوشش می‌دهد، از جمله ارزیابی ریسک، استراتژی و خط‌مشی امنیت سایبری، ساختار سازمانی و حاکمیت، مدیریت حوادث، آموزش واکنش و افزایش آگاهی، و مدیریت شخص ثالث.

تأکید این استاندارد بر اهمیت انجام ارزیابی‌های جامع ریسک به منظور شناسایی آسیب‌پذیری‌ها و ایجاد یک استراتژی امنیت سایبری هماهنگ با اهداف سازمانی است. همچنین، اهمیت ایجاد برنامه‌های مدیریت حادثه موثر، ارائه آموزش منظم امنیت سایبری به کارکنان، و اطمینان از اجرای شیوه‌های امنیت سایبری توسط تأمین‌کنندگان شخص ثالث نیز تأکید شده است.

تأثیر دستورالعمل‌های ISO/IEC 27032:2012

دستورالعمل‌های ISO/IEC 27032:2012 می‌توانند به سازمان‌ها در جلوگیری از حملات سایبری و کاهش آسیب‌های ناشی از حوادث کمک کنند. این استاندارد یک منبع ارزشمند برای سازمان‌ها در هر اندازه است، که به آنها کمک می‌کند تا در دنیای پیچیده امنیت سایبری حرکت کنند و رویکردهای قوی برای حفاظت از دارایی‌ها و اطلاعات دیجیتالی خود در برابر تهدیدات در حال تغییر ایجاد کنند.

ایزو 27032 نسخه 2023

به‌روزرسانی ایزو 27032 نسخه 2023

ویرایش جدید استاندارد ISO/IEC 27032 با عنوان “امنیت سایبری – دستورالعمل‌هایی برای امنیت اینترنت”، بر روی چالش‌های امنیت اینترنت و کاهش تهدیدات متمرکز شده است. این استاندارد به مسائل امنیتی مختلف مانند حملات مهندسی اجتماعی، حملات روز صفر، حملات حریم خصوصی و هک پرداخته و سازمان‌ها را با ابزارها و روش‌هایی برای پیشگیری، شناسایی، نظارت و پاسخ به انواع حملات مبتنی بر اینترنت تجهیز می‌کند.

همچنین، این استاندارد تأکید دارد که باید به بهترین شیوه‌های صنعتی توجه شود و آموزش مصرف‌کنندگان و کارکنان برای مشارکت فعال در مبارزه با چالش‌های امنیت اینترنت ترویج یابد. همچنین، اهمیت حفظ محرمانگی، یکپارچگی و دسترس‌پذیری اطلاعات را نیز تأکید می‌کند.

واجب است توجه داشت که استاندارد ISO/IEC 27032:2023 به صورت صریح بر روی کنترل سیستم‌های پشتیبانی از زیرساخت‌های حیاتی یا امنیت ملی تمرکز ندارد. با این حال، بیشتر کنترل‌های

ارائه شده در این استاندارد می‌توانند برای این نوع سیستم‌ها نیز مورد استفاده قرار گیرند و به سازمان‌ها کمک می‌کنند تا از دارایی‌های حیاتی خود به طور موثر محافظت نمایند. با استفاده از مبانی استانداردهای دیگر مانند ISO/IEC 27002، سری ISO/IEC 27033، ISO/IEC TS 27100 و ISO/IEC 27701، این استاندارد ارتباط قوی بین امنیت اینترنت، امنیت وب، امنیت شبکه و امنیت سایبری را برقرار می‌کند.

تغییرات اصلی از ISO/IEC 27032:2012 به ISO/IEC 27032:2023

اولاً، عنوان استاندارد به “امنیت سایبری – دستورالعمل‌هایی برای امنیت اینترنت” تغییر یافته است، که نشان‌دهنده تغییر تمرکز به سمت مسائل امنیتی اینترنت است. دوماً، این سند بازسازی شده است تا فهم آن برای سازمان‌ها آسان‌تر شود:

ساختار ISO/IEC 27032:2012ساختار ISO/IEC 27032:2023
1 دامنه1 دامنه
2 اعمال پذیری
2 منابع مرجعی
2.1 مخاطبان3 اصطلاحات و تعاریف
2.2 محدودیت‌ها4 اصطلاحات مختصر
3 منابع مرجعی5 ارتباط بین امنیت اینترنت، امنیت وب، امنیت شبکه و امنیت سایبری
4 اصطلاحات و تعاریف6 مروری بر امنیت اینترنت
5 اصطلاحات مختصر7 طرف‌های مشتاق
6 مرور7.1 کلی
6.1 مقدمه7.2 کاربران
6.2 طبیعت سایبرفضا7.3 هماهنگ‌کننده و سازمان‌های استانداردی
6.3 طبیعت امنیت سایبری7.4 مقامات دولتی
6.4 مدل کلی7.5 نهادهای اجرای قانون
6.5 رویکرد7.6 ارائه‌دهندگان خدمات اینترنت
7 سهامداران در سایبرفضا8 ارزیابی و مدیریت ریسک امنیت اینترنت
7.1 مروری8.1 کلی
7.2 مصرف‌کنندگان8.2 تهدیدها
7.3 ارائه‌دهندگان8.3 آسیب‌پذیری‌ها
8 دارایی‌ها در سایبرفضا8.4 برداشت‌های حمله
8.1 مروری9 راهنمایی‌های امنیت اینترنت
8.2 دارایی‌های شخصی9.1 کلی
8.3 دارایی‌های سازمانی9.2 کنترل‌ها برای امنیت اینترنت
9 تهدیدها به امنیت سایبرفضا9.2.1 کلی
9.1 تهدیدها9.2.2 سیاست‌ها برای امنیت اینترنت
9.2 عوامل تهدید9.2.3 کنترل دسترسی
9.3 آسیب‌پذیری‌ها9.2.4 آموزش، آگاهی و آموزش
9.4 مکانیزم‌های حمله9.2.5 مدیریت حوادث امنیتی
10 نقش‌های ستارگان در امنیت سایبری9.2.6 مدیریت دارایی
10.1 مروری9.2.7 مدیریت تأمین‌کنندگان
10.2 نقش‌های مصرف‌کنندگان9.2.8 پایداری کسب‌وکار از طریق اینترنت
10.3 نقش‌های ارائه‌دهندگان9.2.9 حفاظت از حریم خصوصی از طریق اینترنت
11 راهنمایی‌ها برای ستارگان9.2.10 مدیریت آسیب‌پذیری
11.1 مروری9.2.11 مدیریت شبکه
11.2 ارزیابی و مدیریت ریسک9.2.12 حفاظت در برابر بدافزار
11.3 راهنمایی‌ها برای مصرف‌کنندگان9.2.13 مدیریت تغییرات
11.4 راهنمایی‌ها برای سازمان‌ها و ارائه‌دهندگان خدمات9.2.14 شناسایی قوانین و الزامات تطابق قابل اجرا
12 کنترل‌های امنیت سایبری9.2.15 استفاده از رمزنگاری
12.1 مروری9.2.16 امنیت برنامه‌ها برای برنامه‌های تحت وب
12.2 کنترل‌های سطح برنامه9.2.17 مدیریت دستگاه‌های انتهایی
12.3 حفاظت

سرور | 9.2.18 مانیتورینگ |
| 12.4 کنترل‌های کاربران انتهایی | پیوست A (اطلاعات توضیحی) ارتباط‌های متقابل بین این سند و ISO/IEC 27002 |
| 12.5 کنترل‌ها در برابر حملات مهندسی اجتماعی | منابع مرجعی |
| 12.6 آمادگی سایبری | |
| 12.7 کنترل‌های دیگر | |
| 13 چارچوب به اشتراک‌گذاری اطلاعات و هماهنگی | |
| 13.1 کلی | |
| 13.2 سیاست‌ها | |
| 13.3 روش‌ها و فرآیندها | |
| 13.4 افراد و سازمان‌ها | |
| 13.5 فنی | |
| 13.6 راهنمایی اجرایی | |
| پیوست A (اطلاعات توضیحی) آمادگی سایبری | |
| پیوست B (اطلاعات توضیحی) منابع اضافی | |
| پیوست C (اطلاعات توضیحی) نمونه‌های اسناد مرتبط | |
| منابع مرجعی | |

یکی از تغییرات اساسی در این به‌روزرسانی، بهبود چارچوب جامعی است که برای ارزیابی و مدیریت ریسک‌های امنیت اینترنت ارائه شده است. نسخه جدید استاندارد حاوی مطالب اضافی در خصوص تهدیدها، آسیب‌پذیری‌ها و روش‌های حمله است و به سازمان‌ها کمک می‌کند تا درک عمیق‌تری از خطرات مرتبط با امنیت اینترنت پیدا کنند و شیوه‌های بهتری برای مدیریت ریسک ارائه دهند.

ضمن اینکه، ضمیمه A نقشه‌ای از کنترل‌های امنیت اینترنت در ISO/IEC 27032:2023 و همچنین کنترل‌های موجود در ISO/IEC 27002 معرفی می‌کند. این نقشه‌برداری به سازمان‌ها امکان می‌دهد تا اقدامات امنیتی مشخص شده در استاندارد را با کنترل‌های تعریف شده مقایسه و تطبیق دهند. استفاده از چنین نقشه‌برداری، یکپارچه‌سازی بهتر بین چارچوب‌ها و روش‌های امنیتی بین‌المللی را در ISO/IEC 27002 ترویج می‌دهد.

ایزو 27032 نسخه 2023

در نهایت، نسخه به‌روزشده استاندارد ISO/IEC 27032:2023 تأکید بیشتری بر امنیت اینترنت دارد، طیف وسیع‌تری از تهدیدات مرتبط با اینترنت را پوشش می‌دهد و چارچوب بهبودیافته‌ای برای ارزیابی ریسک و مدیریت آن ارائه می‌دهد. با توجه به این تغییرات کلیدی، استاندارد به‌روزشده سازمان‌ها را برای مقابله با چالش‌های پیچیده امنیت سایبری در دوران دیجیتالی و حفاظت از داده‌ها و دارایی‌های خود در برابر تهدیدات مرتبط با اینترنت، تجهیز می‌کند.

جهت اخذ انواع گواهینامه های معتبر ایزو می توانید از طریق WhatsApp با مرکز مشاوره ایران گواه در تماس باشید.

برای امتیاز به این نوشته کلیک کنید!
[کل: 0 میانگین: 0]

درباره نویسنده

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیمایش به بالا