ایزو 27002 چگونه بر ایزو 27001 تاثیر می گذارد؟

ISO/IEC 27001 «الزام‌های قابل‌ممیزی و قابل‌گواهی» را برای ISMS مشخص می‌کند، اما ISO/IEC 27002 مثل یک «راهنمای عملی کنترل‌ها» عمل می‌کند: یعنی به تو کمک می‌کند کنترل‌های Annex A را درست انتخاب کنی، درست پیاده‌سازی کنی و برای هر کنترل Evidence قابل دفاع داشته باشی.

خیر؛ ISO/IEC 27002 به‌تنهایی استاندارد قابل‌گواهی نیست. گواهی معمولاً برای ISO/IEC 27001 صادر می‌شود و 27002 نقش راهنما/مرجع کنترل‌ها را دارد.

در نسخه‌های 2022، کنترل‌ها بازآرایی شده‌اند: به‌جای ساختار قدیمی، با «93 کنترل» و «۴ دسته/تم» (سازمانی، افراد، فیزیکی، فناوری) مواجهی و همین موضوع مستقیماً روی Annex A و SoA اثر می‌گذارد.

Annex A در ISO/IEC 27001:2022 با کنترل‌های ISO/IEC 27002:2022 هم‌راستا شده؛ یعنی وقتی SoA می‌نویسی یا کنترل‌ها را انتخاب می‌کنی، عملاً باید با منطق و زبان جدید کنترل‌ها جلو بروی تا در ممیزی، انتخاب‌ها و شواهدت قابل دفاع باشد.

ISO/IEC 27001:2022 در 25 اکتبر 2022 منتشر شده و دوره انتقال سه‌ساله دارد؛ بسیاری از CBها و نهادهای اعتباربخشی پایان دوره انتقال را 31 اکتبر 2025 اعلام کرده‌اند. یعنی در 2026، سازمانی که هنوز روی 2013 مانده باشد معمولاً باید «ممیزی انتقال/صدور مجدد به 2022» را انجام دهد تا وضعیت گواهی‌اش مسئله‌دار نشود.

معمولاً تمرکز روی این‌هاست: SoA (هم‌راستاسازی با Annex A جدید و توضیح پذیرش/عدم‌پذیرش کنترل‌ها)، ارزیابی ریسک و برنامه درمان ریسک، و شواهد اجرای کنترل‌ها (رویه‌ها، لاگ‌ها، گزارش‌ها، سوابق آموزشی، مدیریت تامین‌کننده، مدیریت تغییر و…). در عمل، ممیز دنبال این است که «منطق انتخاب کنترل‌ها» و «Evidenceها» با ساختار جدید قابل ردیابی باشد.

نه لزوماً. منطق ISO 27001 این است که کنترل‌ها بر اساس ارزیابی ریسک و نیازهای سازمان انتخاب می‌شوند؛ اما هر کنترلی را که کنار می‌گذاری باید در SoA «دلیل قابل دفاع» داشته باشد و با ریسک‌پذیری سازمان تناقض نداشته باشد.

در نسخه‌های 2022، 11 کنترل جدید معرفی شده‌اند (مثل Threat intelligence، امنیت استفاده از Cloud services، آمادگی ICT برای تداوم کسب‌وکار، پایش امنیت فیزیکی، Configuration management، Information deletion، Data masking، Data leakage prevention، Monitoring activities، Web filtering، Secure coding). این‌ها «برای همه سازمان‌ها یکسان» نیستند؛ ضروری بودنشان را ریسک‌ها، Scope و مدل کاری تو تعیین می‌کند—ولی اگر یکی از این حوزه‌ها در سازمانت واقعی است و در SoA پوشش نداده‌ای، در ممیزی به‌احتمال زیاد سؤال سخت می‌گیری.

در Stage 1 معمولاً ممیز دنبال آمادگی مستنداتی و طراحی سیستم است؛ ISO 27002 کمک می‌کند SoA و سیاست‌ها/رویه‌ها «واقعی و دقیق» باشند نه کلی. در Stage 2 هم اثر اصلی روی Evidence است: یعنی بتوانی نشان بدهی کنترل‌های انتخاب‌شده واقعاً اجرا می‌شوند، پایش می‌شوند و خروجی دارند. مطالعه پیشنهادی: ممیزی داخلی چیست؟

عدد ثابت وجود ندارد، اما تجربه بازار این است که اگر ISMS واقعاً اجرا می‌شود، «انتقال» بیشتر هزینه‌اش در هم‌راستاسازی SoA، به‌روزرسانی ریسک و تکمیل شواهدِ چند کنترل جدید/تغییر یافته است؛ اگر ISMS صوری بوده باشد، هزینه و زمان به‌صورت جهشی بالا می‌رود چون باید Evidence بسازی و فرآیندها را واقعی کنی. نکته عملی: معمولاً می‌شود ممیزی انتقال را با ممیزی مراقبتی/تمدید هم‌زمان کرد تا هزینه ممیزی اضافه حداقلی شود.

دو کار ساده ولی حیاتی: (1) مطمئن شو گواهی «اکردیت‌شده» است (نام AB و لوگوی اعتباربخشی معتبر روی گواهی باشد) (2) اطلاعات گواهی را در پایگاه رسمی IAF CertSearch جست‌وجو کن یا از مسیرهای پیشنهادی ISO برای راستی‌آزمایی استفاده کن.

اول Scope را بخوان: آیا دقیقاً همان سرویس/محصولی که از او می‌گیری داخل Scope است یا نه؟ بعد تاریخ اعتبار و وضعیت ممیزی‌های مراقبتی را بررسی کن (Surveillance). در نهایت، استعلام اکردیتیشن/گواهی را از مسیرهای معتبر (مثل CertSearch) انجام بده تا با «گواهی‌های غیرقابل‌اتکا» درگیر نشوی.

برای شروع جدید، مسیر درست این است که از همان ابتدا با نسخه 2022 جلو بروی (هم در طراحی Annex A/SoA و هم در زبان کنترل‌ها). این کار هم دوباره‌کاری را کم می‌کند و هم از همان اول Evidenceها را مطابق انتظار ممیزی امروز می‌سازد.