تغییرات در استاندارد ISO/IEC 27002:2022 چیست؟
اخیراً در 15 فوریه 2022 استاندارد ISO 27002: 2013 به ISO 27002:2022 به روز شد. بزرگترین تفاوت ها شامل تغییرات ایجاد شده در پیوست A، گروه بندی دامنه ها و معرفی کنترل های جدید است.
توسط مقالات قبلی با استاندارد ایزو 27001 آشنا شده اید. استاندارد ISO 27001 چارچوبی را برای نحوه مدیریت امنیت داده های سازمان ها از طریق سیستم مدیریت امنیت اطلاعات یا ISMS ایجاد می کند.
اما ISO 27002 چیست؟
به زبان ساده، ISO 27002 راهنمایی در مورد اجرای کنترل ها از پیوست A استاندارد ایزو 27001 ارائه میکند. استاندارد ایزو 27002 اخیراً در 15 فوریه 2022 از ویرایش 2013 به ISO/IEC 27002 ویرایش 2022 به روزرسانی شد.
تغییرات مهم به روز رسانی استاندارد ISO/IEC 27002:2022
بزرگترین تفاوت ها شامل تغییرات ایجاد شده در پیوست A، گروه بندی دامنه ها و معرفی کنترل های جدید است.
ما توسط این مقاله تغییرات در استاندارد ISO/IEC 27002:2022 را بررسی می کنیم. ISO/IEC 27002 در دست بررسی بوده و در حال حاضر در مرحله DIS (پیش نویس استاندارد بین المللی) است. این مقاله تغییرات کلیدی را توضیح می دهد که انتظار می رود در جدیدترین نسخه در مقایسه با نسخه ISO/IEC 27002:2013 باشد.
در مورد متن فارسی استاندارد ایزو 27001 بیشتر بخوانید.
تغییرات در ISO 27001 پیوست A
ISO 27001:2013
در نسخه 2013 استاندارد ایزو 27001 به پیوست A، تعداد 114 کنترل وجود دارد که به 14 دسته تقسیم می شوند:
- ضمینه A.5، سیاست های امنیت اطلاعات (2 کنترل): نحوه مدیریت سیاست های امنیت اطلاعات را شرح می دهد.
- ضمینه A.6، سازمان امنیت اطلاعات (7 کنترل): با تعریف سازمان داخلی و سایر جنبه های امنیت اطلاعات، چارچوبی برای امنیت اطلاعات فراهم می کند.
- ضمینه A.7، امنیت منابع انسانی (6 کنترل): جنبه های امنیت اطلاعات منابع انسانی را تشریح می کند.
- ضمینه A.8، مدیریت دارایی (6 کنترل): تضمین می کند که دارایی های امنیت اطلاعات شناسایی شده اند و مسئولیت هایی برای امنیت آنها تعیین شده است.
- ضمینه A.9، کنترل دسترسی (14 کنترل): دسترسی به دارایی های اطلاعاتی را بر اساس نیازهای واقعی کسب و کار محدود می کند.
- ضمینه A.10، رمزنگاری (2 کنترل): مبنایی را برای استفاده مناسب از راه حل های رمزگذاری برای محافظت از صحت، محرمانه بودن و یکپارچگی اطلاعات فراهم می کند.
- ضمینه A.11، امنیت فیزیکی و محیطی (15 کنترل): از دسترسی غیرمجاز به مناطق فیزیکی، تجهیزات و امکانات از مداخله انسانی یا طبیعی جلوگیری می کند.
- ضمینه A.12، امنیت عملیات (14 کنترل): تضمین می کند که سیستم های IT سازمان ایمن و در برابر از دست دادن داده ها محافظت می شود.
- ضمینه A.13، امنیت ارتباطات (7 کنترل): از شبکه (زیرساخت و خدمات) و اطلاعاتی که از طریق آن عبور می کند محافظت می کند.
- ضمینه A.14، اکتساب، توسعه و نگهداری سیستم ها (13 کنترل): تضمین می کند که امنیت اطلاعات در هنگام خرید سیستم های اطلاعاتی جدید یا ارتقاء سیستم های موجود اولویت بندی می شود.
- ضمینه A.15، روابط با تامین کننده (5 کنترل): اطمینان حاصل می کند که فعالیت های برون سپاری شده به تامین کنندگان یا شریک ها از کنترل های امنیت اطلاعات مناسب استفاده می کند و نحوه نظارت بر عملکرد امنیتی شخص ثالث را شرح می دهد.
- ضمینه A.16، مدیریت حوادث امنیت اطلاعات (7 کنترل): چارچوبی را برای اطمینان از مدیریت و ارتباط مناسب حوادث امنیتی ارائه می دهد.
- ضمینه A.17، جنبه های امنیت اطلاعات مدیریت تداوم کسب وکار (4 کنترل): تداوم مدیریت امنیت اطلاعات در هنگام اختلالات و همچنین در دسترس بودن سیستم اطلاعاتی را تضمین می کند.
- ضمینه A.18، انطباق (8 کنترل): چارچوبی را برای جلوگیری از نقض حقوقی، نظارتی، قانونی و قراردادی ارائه می دهد و ممیزی می کند که آیا امنیت اطلاعات پیاده سازی شده شما با الزامات استاندارد ISO 27001 مطابقت دارد یا خیر.
ISO 27002:2022
تغییرات در استاندارد ISO/IEC 27002:2022، در ویرایش 2022 استاندارد ISO/IEC 27002 کنترل ها از 114 به 93 کاهش یافت و اکنون در 4 دامنه اصلی گروه بندی می شوند که به شرح زیر است.
- افراد (8 کنترل): این شامل غربالگری، آموزش، آموزش، فرآیندهای انضباطی، مسئولیت، محرمانگی و غیره است.
- سازمان (37 کنترل): این شامل سیاست ها، مدیریت، موجودی، طبقه بندی، برچسب گذاری، احراز هویت و غیره است.
- فناوری (34 کنترل): این شامل دسترسی به اطلاعات، احراز هویت امن، حفاظت از بدافزار، پوشش داده، امنیت شبکه و غیره است.
- فیزیکی (14 کنترل): این شامل محیط های امنیتی، دفاتر، اتاق ها، امکانات، تجهیزات، ذخیره سازی، کابل کشی، نظارت، حفاظت در برابر تهدیدات محیطی و موارد دیگر میشود.
کنترل های جدید در تغییرات استاندارد ISO/IEC 27002
استاندارد ISO/IEC 27002 – تغییرات اصلی در جدیدترین نسخه
کنترل های جدید منتشر شده با 27002: 2022 عبارتند از:
کنترل های جدید منتشر شده با 27002: 2022 عبارتند از:
- هوش تهدید
- امنیت اطلاعات برای استفاده از خدمات ابری
- آمادگی ICT برای تداوم کسب و کار
- نظارت بر امنیت فیزیکی
- مدیریت پیکربندی
- حذف اطلاعات
- پوشش داده ها
- جلوگیری از نشت داده ها
- فعالیت های نظارتی
- فیلتر کردن وب
- کد نویسی ایمن
با توجه به چشمانداز امنیت سایبری در دنیای امروز، چارچوب های امنیت اطلاعات و امنیت سایبری زیادی وجود دارد که به سازمان ها کمک میکند از خود در برابر جرائم سایبری محافظت کنند. ISO/IEC 27002 یک استاندارد بین المللی است که به عنوان مرجعی برای انتخاب و اجرای کنترل های امنیت اطلاعات استفاده می شود. به علاوه، بهترین شیوه های امنیت اطلاعات را راهنمایی میکند که به سازمان ها در انتخاب، پیاده سازی و مدیریت کنترل های امنیت اطلاعات مانند کنترل های سازمانی، افراد، فیزیکی و فناوری و غیره کمک میکند.
بنابراین ، همراه با ISO/IEC 27001 ، ISO/IEC 27002 به عنوان پایه و اساس توسعه یک سیستم مدیریت اطلاعات حریم خصوصی (PIMS) فعالیت می کند.
تفاوت ایزو 27001 با ایزو 27002 چیست؟
در حالی که ISO 27001 فقط شرح مختصری از هر کنترل را در یک یا دو جمله ارائه می دهد، ISO 27002 راهنمایی های دقیق تری را ارائه می دهد و به طور متوسط یک صفحه را برای هر کنترل اختصاص می دهد. با این حال، ISO 27002 هیچ تمایزی بین کنترل هایی که در واقع برای یک کسب و کار خاص اعمال می شود، قائل نمی شود، به همین دلیل است که هر دو ISO 27001 و ISO 27002 باید به طور هماهنگ استفاده شوند.
استاندارد ایزو 27002: کنترل های امنیت اطلاعاتی را که سازمان ها ممکن است برای پیاده سازی انتخاب کنند، پوشش میدهد.
استاندارد ایزو 27003: راهنمای پیاده سازی ISMS را پوشش می دهد.
استاندارد ایزو 27004: نظارت، اندازه گیری، تجزیه و تحلیل و ارزیابی ISMS را پوشش می دهد.
تغییرات اصلی
کنترل های جدید
12 کنترل جدید در آخرین نسخه استاندارد ISO/IEC 27002 معرفی شده است. جدیدترین کنترل ها منعکس کننده تحول در فناوری ها و شیوه های صنعتی است.
جدول زیر کنترل های جدیدی را نشان می دهد که به جدیدترین نسخه استاندارد اضافه شده است.
ساختار مجدد کنترل های موجود
کنترل ها به جای 14 دسته که در نسخه 2013 بودند در 4 دسته دسته بندی می شوند.
جدول زیر تصویری از دسته های کنترل فعلی است که با آخرین استاندارد به روز شده است.
تعداد کنترل ها
93 کنترل در نسخه DIS وجود دارد در حالی که 114 کنترل در نسخه 2013 استاندارد وجود دارد.
کنترل های حذف شده
16 کنترل زیر از جدیدترین نسخه استاندارد حذف شده اند.
دوره های آموزشی ISO/IEC 27002 و گواهینامه
گواهینامه ISO/IEC 27002 نشان می دهد که شما می توانید:
- پیاده سازی، مدیریت و حفظ کنترل های امنیت اطلاعات
- از یک سازمان در اجرای موثر الزامات ISO/IEC 27001 حمایت کنید
- افزایش آگاهی امنیتی در یک سازمان
- افزایش اعتبار سازمانی
چگونه ایران گواه می تواند به شما کمک کند
در دنیایی که امنیت داده ها برای هر سازمانی ضروری است، پیاده سازی و مدیریت امنیت اطلاعات از اهمیت بالایی برخوردار است.
شرکت ایران گواه دوره های آموزشی ISO/IEC 27002 را ارائه می دهد که به شما در برنامه ریزی، پیاده سازی و مدیریت کنترل های امنیت اطلاعات کمک می کند.
برای کسب اطلاعات بیشتر در مورد دوره های آموزشی ISO/IEC 27002، با ما در تماس بگیرید.
پرسش های متداول
تغییرات مهم به روز رسانی استاندارد ISO/IEC 27002:2022 چیست؟
بزرگترین تفاوت ها شامل تغییرات ایجاد شده در پیوست A، گروه بندی دامنه ها و معرفی کنترل های جدید است. در نسخه 2013 استاندارد ایزو 27001 به پیوست A، تعداد 114 کنترل وجود دارد که به 14 دسته تقسیم می شوند. تغییرات در استاندارد ISO/IEC 27002:2022، در ویرایش 2022 استاندارد ISO/IEC 27002 کنترل ها از 114 به 93 کاهش یافت و اکنون در 4 دامنه اصلی گروه بندی می شوند.
تفاوت ایزو 27001 با ایزو 27002 چیست؟
در حالی که ISO 27001 فقط شرح مختصری از هر کنترل را در یک یا دو جمله ارائه می دهد، ISO 27002 راهنمایی های دقیق تری را ارائه می دهد و به طور متوسط یک صفحه را برای هر کنترل اختصاص می دهد. با این حال، ISO 27002 هیچ تمایزی بین کنترل هایی که در واقع برای یک کسب و کار خاص اعمال می شود، قائل نمی شود، به همین دلیل است که هر دو ISO 27001 و ISO 27002 باید به طور هماهنگ استفاده شوند.
بازتاب: جدول Annex A استاندارد ایزو 27001