ایزو 27002 چگونه بر ایزو 27001 تاثیر می گذارد؟
تغییرات مجموعه کنترل منتشر شده در ISO 27002:2022 در پیوست A استاندارد ISO 27001:2022 منعکس خواهد شد. سازمان هایی که اقدام به اجرای استاندارد ایزو 27001 می نمایند یا یک ISMS موجود را مدیریت می کنند باید تغییرات مجموعه کنترل را در چارچوب مدیریتی خود منعکس کنند.
فناوری اطلاعات با سرعت فزاینده ای تغییر می کند و تنها مناسب است که استانداردهای امنیت اطلاعات نیز باید تکامل یابند، نه تنها برای حفظ ارتباط خود، بلکه برای ارائه راهنمایی های مداوم برای بهترین شیوه های امنیتی. لازم به ذکر است که استانداردهای ایزو 27001 و ایزو 27002 آخرین بار در سال 2013 یعنی تقریباً 10 سال پیش به روز شده اند، اما در حال حاضر سازمان بین المللی استاندارد (ISO) آخرین ویرایش استاندارد ایزو 27001 و ایزو 27002 را در سال 2022 منتشر کرد.
درست مانند نسخه قبلی، ISO 27002، به صورت مستقل طراحی شده است، زیرا می تواند توسط سازمان هایی استفاده شود که علاقه ای به ISO 27001 ندارند و فقط می خواهند مجموعه ای از کنترل های احتمالی امنیت اطلاعات را در سازمان خود استفاده کنند.
اما توسط این مقاله در مورد نحوه تاثیر گذاری استاندارد ISO/IEC 27002:2022 به سمت ISO/IEC 27001:2022 می پردازیم. لطفاً تا پایان با ما همراه شوید.
در مورد متن استاندارد ایزو 27001 و نحوه پیاده سازی آن بیشتر بخوانید.
- استاندارد ISO/IEC 27001:2022 چیست؟
- استاندارد ISO/IEC 27002:2022 چیست؟
- ایزو 27002 چگونه بر ایزو 27001 تاثیر می گذارد؟
- تغییرات اصلی در ISO/IEC 27002:2022 چیست؟
- ISO/IEC 27002:2022 چگونه بر ISO/IEC 27001 تأثیر می گذارد؟
- تفاوت اصلی بین ISO/IEC 27001 و ISO/IEC 27002 چیست؟
- تغییرات اصلی در ISO/IEC 27001 چیست؟
- از چه زمانی باید اجرای جدیدترین تغییرات را شروع کنیم؟
- آیا تغییرات بر گواهی(های) ISO/IEC 27001 من تأثیر می گذارد؟
استاندارد ISO/IEC 27001:2022 چیست؟
ISO/IEC 27001 یک استاندارد سیستم مدیریت امنیت اطلاعات است که فهرستی از الزامات انطباق را ارائه می دهد که سازمان ها و متخصصان می توانند بر اساس آن گواهی نامه دریافت کنند. این به سازمان ها کمک می کند تا یک سیستم مدیریت امنیت اطلاعات (ISMS) را ایجاد، پیاده سازی، نگهداری و بهبود بخشند.
استاندارد ISO/IEC 27002:2022 چیست؟
ایزو 27002 یک استاندارد امنیت اطلاعات است که توسط سازمان بین المللی استاندارد (ISO) و کمیسیون بین المللی الکتروتکنیکی (IEC) منتشر شده است. ISO 27002 ارتباط تنگاتنگی با استاندارد ایزو 27001 دارد. پس استاندارد ایزو 27002 به طور کلی، راهنمایی برای پیاده سازی ISO 27001 می دهد. آخرین ویرایش استاندارد ISO/IEC 27002 همانند ایزو 27001 مربوط به سال 2022 میلادی است.
در مورد اخذ گواهینامه ایزو 9001 بیشتر بخوانید.
ایزو 27002 چگونه بر ایزو 27001 تاثیر می گذارد؟
ایزو 27002 چگونه بر ایزو 27001 تاثیر می گذارد؟، آیا اجرای الزامات استاندارد ایزو 27001 و ایزو 27002 نیاز است؟. با توجه به مجله جرایم سایبری، انتظار میرود که هزینه های جرایم سایبری جهانی 15 درصد در سال رشد کند و تا سال 2025 به 10.5 تریلیون دلار برسد.
ISO/IEC 27001 و ISO/IEC 27002 استانداردهای اولیه سازمان بین المللی ISO هستند که هدف آنها افزایش امنیت اطلاعات یک سازمان است. استاندارد ایزو 27001 چارچوبی را برای کمک به سازمان ها برای مدیریت امنیت اطلاعات ارائه میکند، در حالی که استاندارد ایزو 27002 راهنمای پیاده سازی کنترل های امنیت اطلاعات مشخص شده در ISO/IEC 27001 را ارائه میدهد.
نسخه به روز شده استاندارد ایزو 27002 در سال 2022 میلادی منتشر شده است و آخرین تغییرات نیز در ضمیمه A در نسخه ISO/IEC 27001:2013 منعکس خواهد شد.
در زیر متداول ترین پرسش ها و پاسخ هایی است که ممکن است به شما در رفع ابهامات مربوط به آخرین تغییرات کمک کند.
تغییرات اصلی در ISO/IEC 27002:2022 چیست؟
ایزو 27002 چگونه بر ایزو 27001 تاثیر می گذارد؟، تعداد کنترل ها
نسخه اصلاح شده ISO/IEC 27002 منتشر شده در سال 2022 تعداد کنترل های امنیت اطلاعات را از 114 کنترل به 93 کنترل کاهش می دهد که در چهار بخش پوشش داده شده است:
- کنترل های سازمانی (بند 5)
- کنترل های مردمی (بند 6)
- کنترل های فیزیکی (بند 7)
- کنترل های تکنولوژیکی (بند 8)
ایزو 27002 چگونه بر ایزو 27001 تاثیر می گذارد؟، کنترل های جدید
ISO/IEC 27002:2022 11 کنترل جدید را معرفی کرد که در زیر بیان شده است:
- 5.7 هوش تهدید
- 5.23 امنیت اطلاعات برای استفاده از خدمات ابری
- 5.30 آمادگی ICT برای تداوم کسب و کار
- 7.4 نظارت بر امنیت فیزیکی
- 8.9 مدیریت پیکربندی
- 8.10 حذف اطلاعات
- 8.11 پوشش داده ها
- 8.12 جلوگیری از نشت داده ها
- 8.16 فعالیت های نظارتی
- 8.23 فیلتر کردن وب
- 8.28 کدگذاری ایمن
ایزو 27002 چگونه بر ایزو 27001 تاثیر می گذارد؟، بازسازی بخش ها
نسخه به روز شده ISO/IEC 27002:2022 به جای 14 بخش، مانند نسخه قبلی، اکنون دارای چهار بخش و دو ضمیمه است.
- کنترل های سازمانی (بند 5)
- کنترل های مردمی (بند 6)
- کنترل های فیزیکی (بند 7)
- کنترل های تکنولوژیکی (بند 8)
- ضمیمه A – استفاده از ویژگی ها
- پیوست B – مطابقت با ISO/IEC 27002:2013
در نظر گرفته شده است که بر اساس جدیدترین ساختار، فرآیند تعیین مسئولیت ها و قابلیت اعمال کنترل ها آسان تر خواهد شد.
ایزو 27002 چگونه بر ایزو 27001 تاثیر می گذارد؟، کنترل های ادغام شده
با وجود کاهش تعداد کنترل ها، هیچ کنترلی در آخرین نسخه استاندارد حذف نشد. با این حال، آنها ادغام شدند.
دو نمونه از بندهای ادغام شده در زیر نشان داده شده است:
کنترلهای 5.1.1 سیاست های امنیت اطلاعات و 5.1.2 بررسی سیاست های امنیت اطلاعات در 5.1 سیاست های امنیت اطلاعات ادغام شدند.
کنترل های 11.1.2 کنترل های ورود فیزیکی و 11.1.6 مناطق تحویل و بارگیری در 7.2 ورود فیزیکی ادغام شدند.
ISO/IEC 27002:2022 چگونه بر ISO/IEC 27001 تأثیر می گذارد؟
اصلاحیه ای در استاندارد ایزو 27001 ویرایش 2013 (به عنوان ISO/IEC 27001:2013+A1:2022 نامیده می شود) وجود خواهد داشت. به این ترتیب، آخرین تغییرات در ISO/IEC 27002:2022 در ضمیمه A ISO/IEC 27001 با یک نسخه هنجاری از 93 کنترل جدید منعکس خواهد شد.
تفاوت اصلی بین ISO/IEC 27001 و ISO/IEC 27002 چیست؟
استاندارد ایزو 27001 ویرایش 2022 الزاماتی را برای سازمان هایی که به دنبال ایجاد، پیاده سازی، نگهداری و بهبود مستمر یک سیستم مدیریت امنیت اطلاعات هستند، فراهم می کند. به این ترتیب، سازمان ها می توانند در برابر اجرای الزامات گواهینامه ایزو 27001 را دریافت کنند.
ایزو 27002 یک استاندارد بین المللی است که به عنوان مرجعی برای انتخاب و اجرا، پیاده سازی و مدیریت کنترل های امنیت اطلاعات فهرست شده در پیوست A استاندارد ایزو 27001 ویرایش 2022 استفاده می شود.
در این راستا، تفاوت اصلی این است که سازمان ها ممکن است بتوانند اقدام به اخذ گواهینامه ایزو 27001 نمایند ولی استاندارد ایزو 27002 دستورالعمل های اجرا برای استاندارد ISO/IEC 27002:2022 L می دهد و قابلیت صدور گواهینامه ایزو ندارد. این به عنوان ماده پشتیبانی کننده در اجرای الزامات و کنترل های ISO/IEC 27001 عمل می کند.
تغییرات اصلی در ISO/IEC 27001 چیست؟
قطعات اصلی ISO/IEC 27001 که بندهای 4 تا 10 هستند تغییر نخواهند کرد.
در این راستا، برخی از تغییرات اصلی در ISO/IEC 27001 عبارتند از:
- تعداد کنترل های پیوست A که از 114 به 93 کاهش می یابد
- پیوست A با نسخه هنجاری 93 کنترل جدید از ISO/IEC 27002:2022 جایگزین خواهد شد.
- بند 6.1.3c، که در آن عبارت «فهرست جامع اهداف و کنترل های کنترل» به «کنترل های احتمالی امنیت اطلاعات» مناسب تر میشود.
از چه زمانی باید اجرای جدیدترین تغییرات را شروع کنیم؟
اصلاحیه جدید ISO/IEC 27001 که در سال 2022 میلادی منتشر شده است، تنها شامل تغییرات در ضمیمه A می باشد. در حالی که بندهای 4 تا 10 به همان صورت باقی مانده اند. بنابراین، یک پیشنهاد خوب می تواند به روز رسانی مستندات فعلی با کنترل های به روز شده جدید، از جمله در اینجا ارزیابی ریسک فعلی باشد. مجموعه ایران گواه کنترل های جدید ISO/IEC 27002:2022 را اضافه می کند و آنها را به کنترل های موجود مرتبط می کند. به این ترتیب، میتوانید سیاست ها و رویه های جدید را مطابق با کنترل های جدید به روزرسانی یا حتی توسعه دهید و اقدام به اخذ گواهینامه ایزو 27001 ویرایش 2022 نمایید.
علاوه بر این، میتوانید معیارهای امنیتی خود را به روزرسانی کنید تا ارزیابی ریسک شما و همچنین تغییرات پیوست A را منعکس کند. پس از انتشار پیوست A به روزرسانی شده ISO/IEC 27001، باید بیانیه کاربردپذیری را به روزرسانی کنید تا بتواند با لیست جدید کنترل های امنیتی هماهنگ شود.
در این راستا، شرکت ایران گواه دوباره دوره های آموزشی را به روز می کند و همچنین منابع دیگری را ارائه می دهد که دوره انتقال را آسان تر می کند.
آیا تغییرات بر گواهی(های) ISO/IEC 27001 من تأثیر می گذارد؟
با توجه به اینکه بخش اصلی استاندارد ایزو 27001 که بندهای 4 تا 10 است تغییر نکرده است، گواهی (های) ISO/IEC 27001 شخصی شما همچنان معتبر خواهد بود و نیازی به حضور در هیچ کدام نخواهید داشت. آموزش اضافی اگر گواهی شما نیاز به تعمیر و نگهداری دارد، باید با ارسال CPD و AMF آن را حفظ کنید. به هر حال در صورت تمایل به شرکت در دوره آموزشی به روز شده با تغییرات ضمیمه الف می توانید این کار را انجام دهید اما مدرک شما تحت تأثیر قرار نمی گیرد.
ایزو 27002 چگونه بر ایزو 27001 تاثیر می گذارد؟
ISO/IEC 27001 و ISO/IEC 27002 استانداردهای اولیه سازمان بین المللی ISO هستند که هدف آنها افزایش امنیت اطلاعات یک سازمان است. استاندارد ایزو 27001 چارچوبی را برای کمک به سازمان ها برای مدیریت امنیت اطلاعات ارائه میکند، در حالی که استاندارد ایزو 27002 راهنمای پیاده سازی کنترل های امنیت اطلاعات مشخص شده در ISO/IEC 27001 را ارائه میدهد.
از چه زمانی باید اجرای جدیدترین تغییرات را شروع کنیم؟
اصلاحیه جدید ISO/IEC 27001 که در سال 2022 میلادی منتشر شده است، تنها شامل تغییرات در ضمیمه A می باشد. در حالی که بندهای 4 تا 10 به همان صورت باقی مانده اند. بنابراین، یک پیشنهاد خوب می تواند به روز رسانی مستندات فعلی با کنترل های به روز شده جدید، از جمله در اینجا ارزیابی ریسک فعلی باشد. مجموعه ایران گواه کنترل های جدید ISO/IEC 27002:2022 را اضافه می کند و آنها را به کنترل های موجود مرتبط می کند. به این ترتیب، میتوانید سیاست ها و رویه های جدید را مطابق با کنترل های جدید به روزرسانی یا حتی توسعه دهید و اقدام به اخذ گواهینامه ایزو 27001 ویرایش 2022 نمایید.