ISO 27005:2022: تغییرات اصلی
ISO 27005:2022 جدید نیاز به همسویی رویکرد و روش های مدیریت ریسک را با سایر رویکردها و روش های مدیریت ریسک مورد استفاده در سازمان تعریف می کند. روش انتخاب شده باید ویژگی های زیر را تضمین کند: سازگاری، مقایسه، اعتبار. اما تغییرات اصلی استاندارد ایزو 27005 ویرایش 2022 نسبه به ویرایش قبلی چیست؟. با ما همراه شوید.
در این مقاله تغییرات اصلی در نسخه 2022 استاندارد ISO 27005 را خواهید خواند. در عصر دیجیتالیسازی کنونی، سازمانها در هر نوع و اندازهای به شدت نگران حفظ حریم خصوصی و امنیت اطلاعات خود هستند. افزایش تعداد حملات سایبری، در میان سایر موارد، طیفی از تهدیدات را ارائه می دهد که در صورت سوء استفاده از آسیب پذیری سازمان ها، می تواند باعث خرابی، نقض داده ها، نقض قوانین، از دست دادن اعتبار و اعتماد، ضرر مالی و موارد دیگر شود. با ایران گواه همراه باشید.
بنابراین، اتخاذ یک رویکرد ساختاریافته و سیستماتیک برای مدیریت و درمان خطرات امنیت اطلاعات برای سازمانها ضروری شده است. ISO/IEC 27005 یک استاندارد بین المللی است که به عنوان راهنمایی برای مدیریت ریسک امنیت اطلاعات در نظر گرفته شده است. این دستورالعمل برای سازمان ها در مورد ایجاد و بهبود فرآیند مدیریت ریسک امنیت اطلاعات و اجرای الزامات ISO/IEC 27001 در مورد ارزیابی و درمان ریسک امنیت اطلاعات ارائه می کند.
برای همگام شدن با تغییرات و روندها در زمینه خاص، ISO استانداردهای خود را به طور معمول هر پنج سال پس از انتشار آنها بررسی می کند. ISO/IEC 27005 یک فرآیند بررسی را طی کرد و در اکتبر 2022، چهار سال پس از آخرین انتشار، مجدداً منتشر شد. چهارمین و جدیدترین نسخه ISO/IEC 27005 نسخه قبلی استاندارد را لغو و جایگزین می کند.
تغییرات ISO 27005:2022 چیست؟
یکی از اولین تغییراتی که در نسخه جدید ISO/IEC 27005 به راحتی قابل مشاهده است، عنوان آن است. در حالی که عنوان نسخه قبلی:
ISO/IEC 27005:2018 فناوری اطلاعات – تکنیک های امنیتی – مدیریت ریسک امنیت اطلاعات
عنوان نسخه جدید:
ISO/IEC 27005:2022 امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی – راهنمای مدیریت خطرات امنیت اطلاعات
سایر تغییرات کلیدی عبارتند از:
- محتوای استاندارد با ISO/IEC 27001:2022 و ISO 31000:2018 همسو شده است.
- زبان مورد استفاده برای اطمینان از سازگاری با اصطلاحات ISO 31000:2018 به روز شده است. به عنوان مثال، عبارت «تأثیر» با عبارت «نتیجه» جایگزین شده است.
- ساختار بندها مطابق با ساختار ISO/IEC 27001 بازآرایی شده است.
- یک معیار راهاندازی به ساختار همه بندها اضافه شده است که راهنماییهایی را درباره زمان شروع یک فعالیت، زمان تکمیل مرحله یا زمان بهروزرسانی چارچوب ارائه میدهد.
- استاندارد به روز شده همچنین مفهوم “سناریوی خطر” را معرفی کرده است که به عنوان “توالی یا ترکیبی از رویدادهایی که از علت اولیه به پیامدهای ناخواسته منتهی می شود” تعریف شده است. این مفهوم جدید جایگزین عبارت «سناریوی حادثه» شد که در نسخه 2018 استفاده شد.
- نسخه جدید استاندارد یک فرآیند مدیریت ریسک را تشریح می کند که شامل پنج مرحله اصلی برای مدیریت ریسک های امنیت اطلاعات است: ایجاد زمینه، شناسایی ریسک، تجزیه و تحلیل ریسک، ارزیابی ریسک و درمان ریسک، در حالی که مرحله پذیرش ریسک حذف شده است.
- بند 10 پذیرش ریسک امنیت اطلاعات نیز در نسخه جدید استاندارد حذف شده است. با این وجود، ISO/IEC 27005:2022 یک بند جدید برای پذیرش ریسک باقیمانده، بند 8.6.3 پذیرش ریسک امنیت اطلاعات باقیمانده معرفی کرده است. این بدان معنی است که نسخه جدید پذیرش ریسک را به یک نقطه تصمیم که پس از درمان ریسک در نظر گرفته می شود، ساده می کند.
- ISO/IEC 27005:2022 یک جزء جدید به فرآیند مدیریت ریسک امنیت اطلاعات اضافه کرده است که در نسخه قبلی وجود نداشت. این مؤلفه دستورالعمل های مستندسازی را مشخص می کند که در بندهای 10.4.2 اطلاعات مستند در مورد فرآیندها و 10.4.3 اطلاعات مستند در مورد نتایج به تفصیل آمده است.
- نسخه قبلی استاندارد فرآیند شناسایی ریسک را به عنوان مجموعه ای از فعالیت ها توضیح می دهد که شامل شناسایی دارایی ها، شناسایی تهدیدات، شناسایی کنترل های موجود، شناسایی آسیب پذیری ها و شناسایی پیامدها می شود. در نسخه جدید استاندارد، دیگر به طور خاص به این فعالیت ها اشاره نشده است.
- ISO/IEC 27005:2022 فرآیند شناسایی خطرات امنیت اطلاعات را از طریق دو رویکرد ممکن توصیف می کند. در حالی که هر دو رویکرد شناسایی ریسک می توانند برای تعریف سناریوهای ریسک مورد استفاده قرار گیرند، آنها بر اساس سطحی که شناسایی ریسک ها در آن آغاز می شود متفاوت هستند.
- رویکرد مبتنی بر رویداد یک ارزیابی سطح بالا است که شامل شناسایی سناریوهای استراتژیک با در نظر گرفتن منابع ریسک و نحوه تأثیر آنها بر طرف های ذینفع برای دستیابی به اهداف مورد نظرشان است. بر روی چشم انداز کلی تهدید تمرکز می کند، برای تحلیل ماکروسکوپی مناسب ترین است و برای تعریف پیامد و شدت یک سناریوی معین استفاده می شود.
- رویکرد مبتنی بر دارایی یک ارزیابی عمیق است که میتواند برای ساخت سناریوهای عملیاتی با در نظر گرفتن و شناسایی داراییها، تهدیدها و آسیبپذیریها به طور دقیق مورد استفاده قرار گیرد. رویکرد مبتنی بر دارایی به سازمانها اجازه میدهد تا تهدیدات و آسیبپذیریهای خاص دارایی را شناسایی کنند، احتمال یک سناریوی خاص را تعریف کنند و گزینههای خاص درمان ریسک را تعیین کنند.
- استاندارد به روز شده، تکنیک نیمه کمی را برای تجزیه و تحلیل خطرات امنیت اطلاعات علاوه بر دو تکنیک تحلیل ریسک موجود، کیفی و کمی، اضافه کرده است.
- ISO/IEC 27005:2022 همچنین یک مفهوم جدید مرتبط با نظارت را معرفی کرده است، به عنوان مثال، بند A.2.7 نظارت بر رویدادهای مرتبط با ریسک، که به شناسایی عواملی اشاره دارد که می توانند بر سناریوی ریسک امنیت اطلاعات تأثیر بگذارند.
- یک بند جدید در رابطه با بیانیه کاربردپذیری (SoA)، مطابق با ISO/IEC 27001:2022 به استاندارد اضافه شده است. این بند دستورالعملهایی را برای تولید SoA ارائه میکند که تمام کنترلهای لازم را که برای درمان ریسک برنامهریزی شده است، توجیه اجرای کنترلهای انتخابشده و دلایل مستثنی کردن سایر کنترلها از ISO/IEC 27001:2022، ضمیمه A ارائه میکند.
- بند 10، اهرم فرآیندهای ISMS مرتبط، معرفی شده است که راهنمایی پیاده سازی برای برخی از بندهای اصلی ISO/IEC 27001:2022 که بر مدیریت ریسک امنیت اطلاعات تأثیر می گذارد، ارائه می دهد.
- تمام پیوست های قبلی استاندارد به روز شده و به یک پیوست واحد تغییر ساختار داده اند:
- ضمیمه A (آموزنده) تعریف محدوده و مرزهای فرآیند مدیریت ریسک امنیت اطلاعات
- پیوست ب (اطلاعاتی) شناسایی و ارزیابی دارایی ها و ارزیابی تاثیر
- پیوست ج (آموزنده) نمونه هایی از تهدیدات معمولی
- ضمیمه D (آموزنده) آسیب پذیری ها و روش های ارزیابی آسیب پذیری
- ضمیمه E (آموزنده) رویکردهای ارزیابی خطر امنیت اطلاعات
- ضمیمه F (آموزنده) محدودیت ها برای اصلاح ریسک
ساختار فعلی به شرح زیر است:
- ضمیمه A (آموزنده) نمونه هایی از تکنیک های پشتیبانی از فرآیند ارزیابی ریسک:
- الف.1 معیارهای خطر امنیت اطلاعات
- الف.1.1 معیارهای مربوط به ارزیابی ریسک
- الف.1.2 معیارهای پذیرش ریسک
- الف.2 تکنیک های عملی
- الف.2.1 اجزای خطر امنیت اطلاعات
- الف.2.2 دارایی ها
- الف.2.3 منابع خطر و وضعیت نهایی مطلوب
- A.2.4 رویکرد مبتنی بر رویداد
- الف.2.5 رویکرد مبتنی بر دارایی
- الف.2.6 نمونه هایی از سناریوهای قابل اجرا در هر دو رویکرد
- الف.2.7 نظارت بر رویدادهای مرتبط با ریسک
- الف.1 معیارهای خطر امنیت اطلاعات
استاندارد جدید بر همسویی رویکرد مدیریت ریسک امنیت اطلاعات با سایر رویکردهای مدیریت ریسک مورد استفاده در سازمان برای اطمینان از سازگاری، مقایسه و اعتبار نتایج تاکید دارد.
آیا تغییرات ISO/IEC 27005:2022 بر گواهی ISO/IEC 27005 فعلی من تأثیر میگذارد؟
تغییرات جدید در ISO/IEC 27005:2022 بر گواهینامه فعلی ISO/IEC 27005 تأثیری نخواهد گذاشت. برای افرادی که به دنبال دریافت گواهینامه ISO/IEC 27005:2022 هستند، PECB نسخه به روز شده ISO/IEC 27005 Lead Risk Manager و ISO/IEC 27005 Risk Manager را بر اساس آخرین ویرایش استاندارد منتشر کرده است.
ISO/IEC 27005 چگونه با سایر استانداردهای ISO مرتبط است؟
ISO/IEC 27005 و ISO/IEC 27001
ISO/IEC 27005 به عنوان بخشی از خانواده ISO/IEC 27000، ارتباط نزدیکی با ISO/IEC 27001 دارد. ISO/IEC 27001 الزامات یک سیستم مدیریت امنیت اطلاعات (ISMS) را فراهم می کند. از سوی دیگر، ISO/IEC 27005 میتواند توسط سازمانهایی که ISMS را پیادهسازی کردهاند، بهعنوان استانداردی که در رسیدگی به الزامات ISO/IEC 27001 در مورد مدیریت ریسک امنیت اطلاعات کمک میکند، به عنوان مثال، بندهای 6.1 اقدامات برای رسیدگی به ریسکها و فرصتها، 8.2 مورد استفاده قرار گیرد. ارزیابی ریسک امنیت اطلاعات و 8.3 درمان ریسک امنیت اطلاعات.
ISO/IEC 27005 و ISO 31000
ایزو 31000 اصول، فرآیند و چارچوبی را برای مدیریت ریسک هایی که سازمان ها در هر صنعتی با آن مواجه هستند، صرف نظر از اندازه یا پیچیدگی آن ها ارائه می کند. در حالی که هر دو استاندارد به مدیریت ریسک می پردازند، ISO/IEC 27005 به طور خاص مدیریت ریسک های امنیت اطلاعات را پوشش می دهد، در حالی که ISO 31000 یک فرآیند کلی برای مدیریت ریسک های همه نوع ارائه می دهد. دستورالعمل ها و اصطلاحات ISO/IEC 27005 با ISO 31000 هماهنگ شده است. به این ترتیب، سازمان ها می توانند از هر دو استاندارد برای مدیریت ریسک های مربوط به امنیت اطلاعات و سایر زمینه ها استفاده کنند.
پرسش های متداول
تغییرات اصلی ISO 27005:2022 چیست؟
یکی از اولین تغییراتی که در نسخه جدید ISO/IEC 27005 به راحتی قابل مشاهده است، عنوان آن است. در حالی که عنوان نسخه قبلی (ISO/IEC 27005:2018 فناوری اطلاعات – تکنیک های امنیتی – مدیریت ریسک امنیت اطلاعات) بوده، عنوان نسخه جدید به (ISO/IEC 27005:2022 امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی – راهنمای مدیریت خطرات امنیت اطلاعات) تغییر پیدا کرده است.