ایزو 27032 نسخه 2023: بهبود امنیت سایبری
در این مقاله که به طور اختصاصی توسط تیم ایران گواه نگارش شده است به ایزو 27032 نسخه 2023 خواهیم پرداخت. در دنیای دیجیتال امروز، اهمیت اقدامات امنیت سایبری قوی به ویژه برای عموم مردم بینظیر است. با گسترش تهدیدات سایبری، سازمانها با چالشهای عظیمی در حفاظت از اطلاعات و داراییهای خود در مقابل خطرات مبتنی بر اینترنت مواجه هستند.
سازمانهای بینالمللی استاندارد (ISO) و کمیسیون بینالمللی الکتروتکنیکی (IEC) با درکی از روند تغییرات مستمر در چشمانداز تهدیدات، استاندارد ISO/IEC 27032 را که توسط کمیته فنی مشترک ISO/IEC JTC 1 در حوزه فناوری اطلاعات تهیه شده بود، بهطور قابل توجهی بهروزرسانی کردهاند. این تلاشها به منظور هدایت سازمانها در کاهش خطرات و تقویت توانایی دفاع در برابر چالشهای دیجیتالی تمرکز دارد. نسخه جدید ISO/IEC 27032:2023 بهبودهای مهمی را از جمله ارزیابی ریسک بهبودیافته، به سازمانها ارائه میدهد تا بتوانند به خوبی با چالشها مقابله کنند و بهبودهای لازم در سیستمهای اطلاعاتی خود ایجاد کنند.
امنیت اینترنت چه معنایی دارد و چرا باید به آن توجه کنیم؟
امنیت اینترنت از طریق اقدامات و تدابیری که برای محافظت از تراکنشها، فعالیتها و دادههای آنلاین انجام میشود، نقش بسیار مهمی در زندگی ما در دنیای دیجیتالی ایفا میکند. با افزایش تعداد حملات سایبری و ادامه گرایش به تبادل اطلاعات حساس در فضای آنلاین، تدابیر امنیتی به منظور مقابله با تهدیداتی چون دسترسی غیرمجاز، بدافزار و سرقت هویت، اهمیت بیشتری پیدا میکنند.
باید توجه داشت که اینترنت در ابتدا با توجه به نیازمندیهای امنیتی طراحی نشده بود و به همین دلیل آسیبپذیریهای زیادی در برابر تهدیدات امنیتی داشت. با ظهور اینترنت اشیا (IoT) و افزایش ارتباط دستگاهها با یکدیگر، چالشهای امنیتی به تداوم افزایش یافتهاند. به علاوه، پیشرفت فناوری منجر به ظهور روشهای جدید حملات مانند فیشینگ و جاسوسافزار شده است که توسط افراد بدنام برای تحقق منافع شخصی یا اهداف جنایی استفاده میشوند.
دسترسی گسترده به اینترنت در سطح جهانی و نقش سهامداران در فعالیتهای آنلاین، خطرات امنیتی پیچیدهای را به وجود آورده است که برای مقابله با آن نیازمند همکاری بین اقشار مختلف جامعه فنی و حقوقی هستیم. با تلاشهای هماهنگ و اجرای استراتژیهای جهانی، میتوانیم به چالشهای امنیتی اینترنتی پاسخ دهیم و محیط آنلاین را برای همه کاربران بهبود بخشیم.
تلاش برای امنیت اینترنت در مقابل امنیت سایبری
در جهت حفاظت از دنیای دیجیتالی ما، امنیت اینترنت و امنیت سایبری همگام عمل میکنند. این دو دسته از تدابیر به هم مرتبط هستند و هدفشان حفاظت از سیستمها و فضاهای آنلاین در برابر تهدیدات و آسیبپذیریهای مختلف است. امنیت اینترنت به خصوص به مفهوم ایمنی دسترسی و استفاده از اینترنت میپردازد و در برابر خطرات مرتبط با خدمات آنلاین و سیستمهای فناوری اطلاعات و ارتباطات (ICT) حفاظت میکند.
در مقابل، امنیت سایبری شامل یک طیف گستردهتری از مسائل است. این نگاه جامع به امنیت شامل سیستمهای متصل به اینترنت – از جمله سختافزار، نرمافزار، برنامهها و دادهها – را در برابر حملات ممکن و آسیبپذیریهای احتمالی محافظت میکند. امنیت سایبری تمرکز میکند تا مفاهیمی چون امنیت اینترنت، امنیت شبکه و حفاظت از دادهها را به طور جامع و هماهنگ مورد بررسی و اجرا قرار دهد.
ISO/IEC 27032:2012
استاندارد بینالمللی ISO/IEC 27032:2012، که به نام “فناوری اطلاعات – تکنیکهای امنیتی – دستورالعملهای امنیت سایبری” هم شناخته میشود، به خصوص بر امنیت سایبری تمرکز میکند و به سازمانها راهنمایی جامع در زمینه مدیریت و کاهش خطرات سایبری ارائه میدهد. این استاندارد نقش حیاتی امنیت سایبری را در چشمانداز دیجیتال امروزی تأیید میکند و یک رویکرد سیستماتیک برای مدیریت امنیت سایبری ارائه میدهد.
در این نسخه از استاندارد، حوزههای مختلف و حیاتی امنیت سایبری را پوشش میدهد، از جمله ارزیابی ریسک، استراتژی و خطمشی امنیت سایبری، ساختار سازمانی و حاکمیت، مدیریت حوادث، آموزش واکنش و افزایش آگاهی، و مدیریت شخص ثالث.
تأکید این استاندارد بر اهمیت انجام ارزیابیهای جامع ریسک به منظور شناسایی آسیبپذیریها و ایجاد یک استراتژی امنیت سایبری هماهنگ با اهداف سازمانی است. همچنین، اهمیت ایجاد برنامههای مدیریت حادثه موثر، ارائه آموزش منظم امنیت سایبری به کارکنان، و اطمینان از اجرای شیوههای امنیت سایبری توسط تأمینکنندگان شخص ثالث نیز تأکید شده است.
تأثیر دستورالعملهای ISO/IEC 27032:2012
دستورالعملهای ISO/IEC 27032:2012 میتوانند به سازمانها در جلوگیری از حملات سایبری و کاهش آسیبهای ناشی از حوادث کمک کنند. این استاندارد یک منبع ارزشمند برای سازمانها در هر اندازه است، که به آنها کمک میکند تا در دنیای پیچیده امنیت سایبری حرکت کنند و رویکردهای قوی برای حفاظت از داراییها و اطلاعات دیجیتالی خود در برابر تهدیدات در حال تغییر ایجاد کنند.
بهروزرسانی ایزو 27032 نسخه 2023
ویرایش جدید استاندارد ISO/IEC 27032 با عنوان “امنیت سایبری – دستورالعملهایی برای امنیت اینترنت”، بر روی چالشهای امنیت اینترنت و کاهش تهدیدات متمرکز شده است. این استاندارد به مسائل امنیتی مختلف مانند حملات مهندسی اجتماعی، حملات روز صفر، حملات حریم خصوصی و هک پرداخته و سازمانها را با ابزارها و روشهایی برای پیشگیری، شناسایی، نظارت و پاسخ به انواع حملات مبتنی بر اینترنت تجهیز میکند.
همچنین، این استاندارد تأکید دارد که باید به بهترین شیوههای صنعتی توجه شود و آموزش مصرفکنندگان و کارکنان برای مشارکت فعال در مبارزه با چالشهای امنیت اینترنت ترویج یابد. همچنین، اهمیت حفظ محرمانگی، یکپارچگی و دسترسپذیری اطلاعات را نیز تأکید میکند.
واجب است توجه داشت که استاندارد ISO/IEC 27032:2023 به صورت صریح بر روی کنترل سیستمهای پشتیبانی از زیرساختهای حیاتی یا امنیت ملی تمرکز ندارد. با این حال، بیشتر کنترلهای
ارائه شده در این استاندارد میتوانند برای این نوع سیستمها نیز مورد استفاده قرار گیرند و به سازمانها کمک میکنند تا از داراییهای حیاتی خود به طور موثر محافظت نمایند. با استفاده از مبانی استانداردهای دیگر مانند ISO/IEC 27002، سری ISO/IEC 27033، ISO/IEC TS 27100 و ISO/IEC 27701، این استاندارد ارتباط قوی بین امنیت اینترنت، امنیت وب، امنیت شبکه و امنیت سایبری را برقرار میکند.
تغییرات اصلی از ISO/IEC 27032:2012 به ISO/IEC 27032:2023
اولاً، عنوان استاندارد به “امنیت سایبری – دستورالعملهایی برای امنیت اینترنت” تغییر یافته است، که نشاندهنده تغییر تمرکز به سمت مسائل امنیتی اینترنت است. دوماً، این سند بازسازی شده است تا فهم آن برای سازمانها آسانتر شود:
| ساختار ISO/IEC 27032:2012 | ساختار ISO/IEC 27032:2023 |
|---|---|
| 1 دامنه | 1 دامنه |
| 2 اعمال پذیری | |
| 2 منابع مرجعی | |
| 2.1 مخاطبان | 3 اصطلاحات و تعاریف |
| 2.2 محدودیتها | 4 اصطلاحات مختصر |
| 3 منابع مرجعی | 5 ارتباط بین امنیت اینترنت، امنیت وب، امنیت شبکه و امنیت سایبری |
| 4 اصطلاحات و تعاریف | 6 مروری بر امنیت اینترنت |
| 5 اصطلاحات مختصر | 7 طرفهای مشتاق |
| 6 مرور | 7.1 کلی |
| 6.1 مقدمه | 7.2 کاربران |
| 6.2 طبیعت سایبرفضا | 7.3 هماهنگکننده و سازمانهای استانداردی |
| 6.3 طبیعت امنیت سایبری | 7.4 مقامات دولتی |
| 6.4 مدل کلی | 7.5 نهادهای اجرای قانون |
| 6.5 رویکرد | 7.6 ارائهدهندگان خدمات اینترنت |
| 7 سهامداران در سایبرفضا | 8 ارزیابی و مدیریت ریسک امنیت اینترنت |
| 7.1 مروری | 8.1 کلی |
| 7.2 مصرفکنندگان | 8.2 تهدیدها |
| 7.3 ارائهدهندگان | 8.3 آسیبپذیریها |
| 8 داراییها در سایبرفضا | 8.4 برداشتهای حمله |
| 8.1 مروری | 9 راهنماییهای امنیت اینترنت |
| 8.2 داراییهای شخصی | 9.1 کلی |
| 8.3 داراییهای سازمانی | 9.2 کنترلها برای امنیت اینترنت |
| 9 تهدیدها به امنیت سایبرفضا | 9.2.1 کلی |
| 9.1 تهدیدها | 9.2.2 سیاستها برای امنیت اینترنت |
| 9.2 عوامل تهدید | 9.2.3 کنترل دسترسی |
| 9.3 آسیبپذیریها | 9.2.4 آموزش، آگاهی و آموزش |
| 9.4 مکانیزمهای حمله | 9.2.5 مدیریت حوادث امنیتی |
| 10 نقشهای ستارگان در امنیت سایبری | 9.2.6 مدیریت دارایی |
| 10.1 مروری | 9.2.7 مدیریت تأمینکنندگان |
| 10.2 نقشهای مصرفکنندگان | 9.2.8 پایداری کسبوکار از طریق اینترنت |
| 10.3 نقشهای ارائهدهندگان | 9.2.9 حفاظت از حریم خصوصی از طریق اینترنت |
| 11 راهنماییها برای ستارگان | 9.2.10 مدیریت آسیبپذیری |
| 11.1 مروری | 9.2.11 مدیریت شبکه |
| 11.2 ارزیابی و مدیریت ریسک | 9.2.12 حفاظت در برابر بدافزار |
| 11.3 راهنماییها برای مصرفکنندگان | 9.2.13 مدیریت تغییرات |
| 11.4 راهنماییها برای سازمانها و ارائهدهندگان خدمات | 9.2.14 شناسایی قوانین و الزامات تطابق قابل اجرا |
| 12 کنترلهای امنیت سایبری | 9.2.15 استفاده از رمزنگاری |
| 12.1 مروری | 9.2.16 امنیت برنامهها برای برنامههای تحت وب |
| 12.2 کنترلهای سطح برنامه | 9.2.17 مدیریت دستگاههای انتهایی |
| 12.3 حفاظت |
سرور | 9.2.18 مانیتورینگ |
| 12.4 کنترلهای کاربران انتهایی | پیوست A (اطلاعات توضیحی) ارتباطهای متقابل بین این سند و ISO/IEC 27002 |
| 12.5 کنترلها در برابر حملات مهندسی اجتماعی | منابع مرجعی |
| 12.6 آمادگی سایبری | |
| 12.7 کنترلهای دیگر | |
| 13 چارچوب به اشتراکگذاری اطلاعات و هماهنگی | |
| 13.1 کلی | |
| 13.2 سیاستها | |
| 13.3 روشها و فرآیندها | |
| 13.4 افراد و سازمانها | |
| 13.5 فنی | |
| 13.6 راهنمایی اجرایی | |
| پیوست A (اطلاعات توضیحی) آمادگی سایبری | |
| پیوست B (اطلاعات توضیحی) منابع اضافی | |
| پیوست C (اطلاعات توضیحی) نمونههای اسناد مرتبط | |
| منابع مرجعی | |
یکی از تغییرات اساسی در این بهروزرسانی، بهبود چارچوب جامعی است که برای ارزیابی و مدیریت ریسکهای امنیت اینترنت ارائه شده است. نسخه جدید استاندارد حاوی مطالب اضافی در خصوص تهدیدها، آسیبپذیریها و روشهای حمله است و به سازمانها کمک میکند تا درک عمیقتری از خطرات مرتبط با امنیت اینترنت پیدا کنند و شیوههای بهتری برای مدیریت ریسک ارائه دهند.
ضمن اینکه، ضمیمه A نقشهای از کنترلهای امنیت اینترنت در ISO/IEC 27032:2023 و همچنین کنترلهای موجود در ISO/IEC 27002 معرفی میکند. این نقشهبرداری به سازمانها امکان میدهد تا اقدامات امنیتی مشخص شده در استاندارد را با کنترلهای تعریف شده مقایسه و تطبیق دهند. استفاده از چنین نقشهبرداری، یکپارچهسازی بهتر بین چارچوبها و روشهای امنیتی بینالمللی را در ISO/IEC 27002 ترویج میدهد.
در نهایت، نسخه بهروزشده استاندارد ISO/IEC 27032:2023 تأکید بیشتری بر امنیت اینترنت دارد، طیف وسیعتری از تهدیدات مرتبط با اینترنت را پوشش میدهد و چارچوب بهبودیافتهای برای ارزیابی ریسک و مدیریت آن ارائه میدهد. با توجه به این تغییرات کلیدی، استاندارد بهروزشده سازمانها را برای مقابله با چالشهای پیچیده امنیت سایبری در دوران دیجیتالی و حفاظت از دادهها و داراییهای خود در برابر تهدیدات مرتبط با اینترنت، تجهیز میکند.
جهت اخذ انواع گواهینامه های معتبر ایزو می توانید از طریق WhatsApp با مرکز مشاوره ایران گواه در تماس باشید.
