ایزو 27001 ویرایش 2022، تغییرات اصلی چیست؟
سازمان بین المللی استاندارد (ISO) در 25 اکتبر سال 2022 استاندارد ISO/IEC 27001 را ویرایش و نسخه جدید متن استاندارد در سال 2022 میلادی به روز شد.
ایزو 27001 ویرایش 2022 جدید در 25 اکتبر 2022 منتشر شده است. برخی از به روز رسانی های اصلی جدید ISO/IEC 27001:2022 شامل تغییر عمده ضمیمه A، به روز رسانی جزئی بندها و تغییر عنوان است. از استاندارد.
آخرین نسخه ISO/IEC 27002 در ابتدای سال 2022 منتشر شده است و آخرین تغییرات آن نیز ISO 27001 را تحت تاثیر قرار داده است. از طریق این مقاله به آخرین تغییرات نسخه جدید استاندارد ایزو 27001 می پردازیم. با ما همراه شوید.
تغییرات جدید ایزو 27001 ویرایش 2022
از آنجایی که جهان با چالش های امنیتی در حال تحول جدیدی مواجه است، استاندارد بین المللی شناخته شده ISO/IEC 27001 که هدف آن حفاظت از محرمانه بودن، در دسترس بودن و یکپارچگی دارایی های اطلاعاتی سازمان ها است، نسخه منتشر شده به روز، جدیدتر، مرتبط تر و به روزتر شده است.
متفاوت از ISO/IEC 27001:2013، عنوان کامل نسخه جدید ISO/IEC 27001:2022 امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی است.
بخشی که تحت تأثیر مهمترین تغییرات قرار گرفته است، پیوست A استاندارد ایزو 27001 است که با بهروزرسانیهای ISO/IEC 27002:2022 که در اوایل امسال منتشر شد، همراستا است.
در مورد سایر قسمت ها، بندهای 4 تا 10 دستخوش تغییرات جزئی متعددی شده اند، به ویژه در بندهای 4.2، 6.2، 6.3 و 8.1 که در آن مطالب جدید اضافه شده است. سایر به روز رسانی ها شامل تغییرات جزئی در اصطلاح و تجدید ساختار جملات و بندها است. با این حال، عنوان و ترتیب این بندها ثابت است:
- بند 4 زمینه سازمان
- بند 5 رهبری
- بند 6 برنامه ریزی
- بند 7 پشتیبانی
- بند 8 عملیات
- بند 9 ارزیابی عملکرد
- بند 10 بهبود
تغییرات کنترلی اصلی در پیوست A چیست؟
پیوست A ISO/IEC 27001:2022 شامل تغییراتی در هر دو، تعداد کنترلها و فهرست آنها در گروهها میباشد. عنوان این پیوست نیز از اهداف و کنترل های مرجع کنترل به مرجع کنترل های امنیت اطلاعات تغییر کرده است. بنابراین، اهداف مرجع هر گروه کنترل که در نسخه قبلی استاندارد وجود داشت، اکنون حذف شده است.
تعداد کنترل های پیوست A از 114 به 93 کاهش یافته است. کاهش تعداد کنترل ها بیشتر از ادغام بسیاری از آنها ناشی شده است. 35 کنترل ثابت باقی مانده اند، 23 کنترل تغییر نام دادند، 57 کنترل در 24 کنترل ادغام شدند و یک کنترل به دو کنترل تقسیم شد. 93 کنترل به چهار گروه یا بخش کنترل تغییر ساختار یافته اند. جهت کسب اطلاعات بیشتر در مورد جدول پیوست A اینجا کلیک نمایید.
گروه های کنترل جدید ISO/IEC 27001:2022 عبارتند از:
- الف.5 کنترل های سازمانی – شامل 37 کنترل است
- A.6 افراد کنترل – شامل 8 کنترل
- A.7 کنترل های فیزیکی – شامل 14 کنترل است
- الف.8 کنترل های تکنولوژیکی – شامل 34 کنترل است
ISO/IEC 27001:2022 همچنین 11 کنترل جدید زیر را به پیوست A اضافه کرده است:
- هوش تهدید
- امنیت اطلاعات برای استفاده از خدمات ابری
- آمادگی ICT برای تداوم کسب و کار
- نظارت بر امنیت فیزیکی
- مدیریت پیکربندی
- حذف اطلاعات
- پوشش داده ها
- جلوگیری از نشت داده ها
- فعالیت های نظارتی
- فیلتر کردن وب
- کد نویسی ایمن
آیا تغییرات ISO/IEC 27001:2022 بر گواهی ISO/IEC 27001 فعلی من تأثیر خواهد گذاشت؟
تغییرات جدید در ISO/IEC 27001:2022 بر گواهینامه فعلی ISO/IEC 27001 تأثیری نخواهد داشت. برای کسانی که علاقه مند به دریافت گواهینامه در برابر آن هستند، ایران گواه دوره آموزشی جدید ISO/IEC 27001 Transition و دوره های آموزشی به روز شده ISO/IEC 27001 Lead Auditor و Lead Implementer را منتشر کرده است.
ISO/IEC 27001 و ISO/IEC 27002
ISO/IEC 27001 و ISO/IEC 27002 هر دو با امنیت فناوری اطلاعات و سیستم مدیریت امنیت اطلاعات مرتبط هستند، از این رو به نظر میرسد که کاملاً مشابه هستند. با این حال، آنها یکسان نیستند.
ISO/IEC 27001 یک استاندارد سیستم مدیریت امنیت اطلاعات است که فهرستی از الزامات انطباق را ارائه می دهد که سازمان ها و متخصصان می توانند بر اساس آن گواهی نامه دریافت کنند. این به سازمان ها کمک می کند تا یک سیستم مدیریت امنیت اطلاعات (ISMS) را ایجاد، پیاده سازی، نگهداری و بهبود بخشند.
این استاندارد از اوایل دهه 90 وجود داشت، ابتدا تحت نام ISO/IEC 17799. در سال 2005، این استاندارد با نام جدید ISO/IEC 27001 بازنگری و منتشر شد. برای همگام شدن با پیشرفت های فناوری و مرتبط تر شدن به آخرین تهدیدات امنیتی، ISO/IEC 27001 در سال 2013 بازنگری شد و نسخه جدیدی منتشر شد. در سال 2019، این استاندارد تجدید نظر دیگری را تجربه کرد، اما همان نسخه تا کنون جاری باقی مانده است.
استاندارد دیگر، همچنین بخشی از خانواده استانداردهای ISO/IEC 27000 ISMS، که ارتباط نزدیکی با ISO/IEC 27001 دارد، ISO/IEC 27002 است. این استاندارد برای تطبیق سیستم های مدیریت امنیت اطلاعات با زمینه خاص سازمان ها با ارائه رهنمودهایی استفاده می شود. انتخاب و اجرای کنترلهای امنیت اطلاعات مناسب فهرستشده در پیوست A ISO/IEC 27001. علاوه بر این، ISO/IEC 27002 اطلاعات بسیار دقیقتر و کاملتری را در مورد این کنترلها ارائه میدهد.
با توجه به اینکه ISO/IEC 27002 یک استاندارد پشتیبان است که حاوی راهنمایی و الزامات نیست، سازمان ها نمی توانند در برابر آن گواهی نامه دریافت کنند، فقط متخصصان می توانند.
ایران گواه چه کمکی می تواند انجام دهد؟
دوره های آموزشی ایران گواه در ISO/IEC 27001 و ISO/IEC 27002 به متخصصان مشتاق این امکان را می دهد تا تخصص، مهارت ها و شایستگی های مورد نیاز برای کمک به سازمان ها برای تضمین امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی را به دست آورند. با استفاده از رویکرد تئوری و عملی آموزش کیفی، متخصصان می توانند اطلاعات زیادی در مورد این دو استاندارد بیاموزند و تخصص لازم را برای حمایت از سازمان در برنامه ریزی، پیاده سازی و مدیریت سیستم مدیریت امنیت اطلاعات و کنترل های آن به دست آورند.