استاندارد ISO/IEC 27002 – تغییرات اصلی در جدیدترین نسخه

اگر دنبال یک نقشه عملی برای انتخاب و پیاده‌سازی کنترل‌های امنیت اطلاعات هستی، ISO/IEC 27002:2022 دقیقاً همان چیزی است که باید بشناسی. این استاندارد «گواهینامه سازمانی» نمی‌دهد؛ نقش اصلی‌اش این است که کنترل‌های امنیتی را به زبان ساده و قابل اجرا توضیح می‌دهد تا بتوانی برای ISO/IEC 27001 یک SoA قابل دفاع بسازی، کنترل‌ها را درست انتخاب کنی، و در ممیزی هم با Evidence واقعی جلو بروی. در این صفحه خیلی سریع می‌فهمی 27002 چیست، چه تغییری در نسخه 2022 کرده (۹۳ کنترل در ۴ تم اصلی + ویژگی‌های کاربردی کنترل‌ها)، و چطور از آن برای کاهش ریسک، جلوگیری از SoA صوری و آماده‌سازی ممیزی استفاده کنی.

نکته مهم: ISO/IEC 27002 یک استاندارد راهنما برای انتخاب و اجرای کنترل‌های امنیت اطلاعات است و به‌خودیِ‌خود «گواهینامه سازمانی» ندارد. اگر هدف شما دریافت گواهی قابل ممیزی است، مسیر درست «ISO/IEC 27001» است و 27002 به شما کمک می‌کند کنترل‌ها را درست انتخاب کنید و SoA قابل دفاع بسازید.

مطالعه پیشنهادی: تجزیه‌وتحلیل شکاف ISO 27001 (قبل از اینکه در ممیزی گیر کنید)

مطالعه پیشنهادی: استانداردهای امنیت اطلاعات (خانواده ISO 27000)

1. ضمینه A.5، سیاست های امنیت اطلاعات (2 کنترل): نحوه مدیریت سیاست های امنیت اطلاعات را شرح می دهد.
2. ضمینه A.6، سازمان امنیت اطلاعات (7 کنترل): با تعریف سازمان داخلی و سایر جنبه های امنیت اطلاعات، چارچوبی برای امنیت اطلاعات فراهم می کند.
3. ضمینه A.7، امنیت منابع انسانی (6 کنترل): جنبه های امنیت اطلاعات منابع انسانی را تشریح می کند.
4. ضمینه A.8، مدیریت دارایی (6 کنترل): تضمین می کند که دارایی های امنیت اطلاعات شناسایی شده اند و مسئولیت هایی برای امنیت آنها تعیین شده است.
5. ضمینه A.9، کنترل دسترسی (14 کنترل): دسترسی به دارایی های اطلاعاتی را بر اساس نیازهای واقعی کسب و کار محدود می کند.
6. ضمینه A.10، رمزنگاری (2 کنترل): مبنایی را برای استفاده مناسب از راه حل های رمزگذاری برای محافظت از صحت، محرمانه بودن و یکپارچگی اطلاعات فراهم می کند.
7. ضمینه A.11، امنیت فیزیکی و محیطی (15 کنترل): از دسترسی غیرمجاز به مناطق فیزیکی، تجهیزات و امکانات از مداخله انسانی یا طبیعی جلوگیری می کند.
8. ضمینه A.12، امنیت عملیات (14 کنترل): تضمین می کند که سیستم های IT سازمان ایمن و در برابر از دست دادن داده ها محافظت می شود.
9. ضمینه A.13، امنیت ارتباطات (7 کنترل): از شبکه (زیرساخت و خدمات) و اطلاعاتی که از طریق آن عبور می کند محافظت می کند.
10. ضمینه A.14، اکتساب، توسعه و نگهداری سیستم ها (13 کنترل): تضمین می کند که امنیت اطلاعات در هنگام خرید سیستم های اطلاعاتی جدید یا ارتقاء سیستم های موجود اولویت بندی می شود.
11. ضمینه A.15، روابط با تامین کننده (5 کنترل): اطمینان حاصل می کند که فعالیت های برون سپاری شده به تامین کنندگان یا شریک ها از کنترل های امنیت اطلاعات مناسب استفاده می کند و نحوه نظارت بر عملکرد امنیتی شخص ثالث را شرح می دهد.
12. ضمینه A.16، مدیریت حوادث امنیت اطلاعات (7 کنترل): چارچوبی را برای اطمینان از مدیریت و ارتباط مناسب حوادث امنیتی ارائه می دهد.
13. ضمینه A.17، جنبه های امنیت اطلاعات مدیریت تداوم کسب وکار (4 کنترل): تداوم مدیریت امنیت اطلاعات در هنگام اختلالات و همچنین در دسترس بودن سیستم اطلاعاتی را تضمین می کند.
14. ضمینه A.18، انطباق (8 کنترل): چارچوبی را برای جلوگیری از نقض حقوقی، نظارتی، قانونی و قراردادی ارائه می دهد و ممیزی می کند که آیا امنیت اطلاعات پیاده سازی شده شما با الزامات استاندارد ISO 27001 مطابقت دارد یا خیر.

1. افراد (8 کنترل): این شامل غربالگری، آموزش، آموزش، فرآیندهای انضباطی، مسئولیت، محرمانگی و غیره است.
2. سازمان (37 کنترل): این شامل سیاست‌ ها، مدیریت، موجودی، طبقه‌ بندی، برچسب‌ گذاری، احراز هویت و غیره است.
3. فناوری (34 کنترل): این شامل دسترسی به اطلاعات، احراز هویت امن، حفاظت از بدافزار، پوشش داده، امنیت شبکه و غیره است.
4. فیزیکی (14 کنترل): این شامل محیط‌ های امنیتی، دفاتر، اتاق‌ ها، امکانات، تجهیزات، ذخیره‌ سازی، کابل‌ کشی، نظارت، حفاظت در برابر تهدیدات محیطی و موارد دیگر می‌شود.

• هوش تهدید
• امنیت اطلاعات برای استفاده از خدمات ابری
• آمادگی ICT برای تداوم کسب و کار
• نظارت بر امنیت فیزیکی
• مدیریت پیکربندی
• حذف اطلاعات
• پوشش داده ها
• جلوگیری از نشت داده ها
• فعالیت های نظارتی
• فیلتر کردن وب
• کد نویسی ایمن

ارتباط ISO/IEC 27002:2022 با ISO/IEC 27001:2022 و Annex A

اگر هدف تو «ممیزی‌پذیر شدن» و گرفتن خروجی قابل دفاع است، باید این اتصال را دقیق بفهمی: در ISO/IEC 27001:2022، کنترل‌های Annex A اکنون ۹۳ کنترل هستند و در ۴ دسته اصلی (سازمانی، انسانی، فیزیکی، فناوری) گروه‌بندی شده‌اند. در مقابل، ISO/IEC 27002:2022 برای همین کنترل‌ها نقش «راهنمای اجرا» را بازی می‌کند؛ یعنی به‌جای اینکه فقط اسم کنترل را داشته باشی، می‌گوید این کنترل را چطور طراحی و اجرا کنی، چه Evidenceهایی معمولاً قابل ارائه است و چطور آن را قابل پایش کنی. نتیجه عملی‌اش این است که SoA تو از حالت «لیست صوری» خارج می‌شود و تبدیل می‌شود به یک سند قابل دفاع برای ممیز.

به زبان ساده: گواهی سازمانی را با 27001 می‌گیری؛ اما برای اینکه کنترل‌های Annex A را درست و اجرایی پیاده‌سازی کنی (و در ممیزی گیر ندهد)، 27002 دقیقاً همان راهنمایی است که به کارت می‌آید. پس اگر هنوز در مستنداتت ارجاع‌های قدیمی (مثل شماره‌گذاری‌ها یا دسته‌بندی‌های 2013) داری، اینجا نقطه‌ای است که باید یک «هم‌راستاسازی» انجام بدهی: کنترل‌ها را با ساختار 2022 همسان کن، SoA را بر همین مبنا بازنویسی کن، و برای هر کنترل شواهد اجرایی واقعی آماده کن.

مطالعه پیشنهادی: پارامترهای ارزیابی ریسک ممیزی‌پسند برای ISO 27001 / تجزیه‌وتحلیل شکاف ISO 27001 بین Stage 1 و Stage 2 چه می‌شود؟

نکته زمان‌بندی (مهم برای سازمان‌های در حال ممیزی/تمدید): طبق الزامات ترنزیشن اکوسیستم اعتباردهی و دستورالعمل‌های مرتبط با آن، موعد تکمیل ترنزیشن مشتریان دارای گواهی به ISO/IEC 27001:2022 تا 31 اکتبر 2025 تعیین شده بود؛ بعد از این تاریخ، گواهی‌های مبتنی بر ویرایش 2013 عملاً باید به 2022 منتقل شده باشند. اگر هنوز پروژه‌ات با متن/SoA نسخه 2013 جلو می‌رود، بهتر است همین‌جا در برنامه پروژه، «Transition & Update SoA» را به‌عنوان یک خروجی رسمی اضافه کنی.

مطالعه پیشنهادی: چک‌لیست ممیزی Annex A و SoA برای ISO 27001

مطالعه پیشنهادی: ISO 27005:2022 و نقش آن در ریسک و SoA

تم‌ها و «Attributes» در ISO/IEC 27002:2022 یعنی چه و چرا مهم است؟

در نسخه 2022 فقط تعداد کنترل‌ها کمتر نشده و دسته‌بندی‌ها هم تغییر نکرده؛ یک ویژگی کاربردی دیگر هم اضافه شده که خیلی‌ها اول کار از کنارش رد می‌شوند: Attributes (ویژگی‌ها/برچسب‌ها). ایده ساده است: هر کنترل مثل یک آیتم ثابت نیست که فقط یک‌جا دیده شود؛ شما می‌توانی همان کنترل را با «عینک‌های مختلف» ببینی—مثلاً از زاویه‌ی نوع کنترل (پیشگیرانه/کشفی/اصلاحی)، یا از زاویه‌ی اینکه بیشتر روی محرمانگی/یکپارچگی/دسترس‌پذیری اثر می‌گذارد، یا از زاویه‌ی عملیات (مثل IAM، مدیریت آسیب‌پذیری، تداوم کسب‌وکار و…). این نگاه چندبعدی کمک می‌کند انتخاب کنترل‌ها برای SoA کمتر سلیقه‌ای و بیشتر قابل دفاع شود، و بعداً هم گزارش‌دهی و مانیتورینگ خیلی مرتب‌تر جلو برود.

پنج دسته Attribute در 27002:2022

در ویرایش 2022 برای هر کنترل، یک «Taxonomy» پیشنهاد شده که معمولاً در قالب ۵ دسته Attribute نمایش داده می‌شود (استفاده از آن‌ها اجباری نیست، اما در عمل برای SoA و مدیریت کنترل‌ها بسیار مفید است):

1. Control type (نوع کنترل): پیشگیرانه، کشفی، اصلاحی.
2. Information security properties (ویژگی‌های امنیت اطلاعات): محرمانگی، یکپارچگی، دسترس‌پذیری (CIA).
3. Cybersecurity concepts (مفاهیم امنیت سایبری): هم‌راستا با منطق چرخه‌های رایج مثل Identify/Protect/Detect/Respond/Recover که برای مپ‌کردن به چارچوب‌ها کاربرد دارد.
4. Operational capabilities (قابلیت‌های عملیاتی): یعنی این کنترل بیشتر به کدام «توانمندی اجرایی» شما کمک می‌کند (مثل مدیریت دارایی، مدیریت هویت و دسترسی، مدیریت رخداد، مدیریت آسیب‌پذیری، تداوم و…)، تا بتوانی کنترل‌ها را مثل یک برنامه عملیاتی مدیریت کنی نه صرفاً یک چک‌لیست.
5. Security domains (دامنه‌های امنیتی): یک نمای چهاربخشی از کنترل‌ها در سطح «دامنه» برای اینکه سازمان‌ها بتوانند کنترل‌ها را از منظر حوزه‌های امنیتی هم مرتب کنند.

این بخش در عمل چه کمکی به شما می‌کند؟

اگر SoA را فقط بر اساس اسم کنترل‌ها جلو ببری، خیلی راحت تبدیل می‌شود به یک سند «صوری» که در ممیزی هم سریع گیر می‌دهد. اما وقتی کنترل‌ها را با Attributes نگاه می‌کنی، چند خروجی خیلی کاربردی می‌گیری:

• می‌توانی SoA را به‌جای یک لیست خشک، به شکل یک نمای مدیریتی قابل دفاع ارائه کنی: «کدام کنترل‌ها پیشگیرانه‌اند؟ کدام‌ها کشفی‌اند؟ برای محرمانگی بیشتر روی چه کنترل‌هایی تکیه کرده‌ایم؟ برای پاسخ به رخداد چه پوششی داریم؟»
• برای تیم فنی/عملیاتی هم برنامه‌ریزی راحت‌تر می‌شود، چون کنترل‌ها را می‌شود بر اساس «قابلیت‌های عملیاتی» به Ownerها سپرد و KPI تعریف کرد.
• اگر هم بخواهی به چارچوب‌های رایج (مثل رویکردهای چرخه‌ای امنیت سایبری) مپ کنی، Attributes مسیر را کوتاه می‌کند و گزارش‌دهی برای مدیریت ارشد قابل فهم‌تر می‌شود.

نکته اجرایی: خود استاندارد هم تأکید می‌کند استفاده از Attributes «الزامی» نیست؛ اما اگر هدف تو این است که SoA و شواهد اجرایی‌ات در ممیزی 27001 قابل دفاع باشد، Attributes عملاً یکی از بهترین ابزارها برای جلوگیری از انتخاب‌های صوری و ساختن گزارش‌های شفاف است.

• پیاده سازی، مدیریت و حفظ کنترل های امنیت اطلاعات
• از یک سازمان در اجرای موثر الزامات ISO/IEC 27001 حمایت کنید
• افزایش آگاهی امنیتی در یک سازمان
• افزایش اعتبار سازمانی

مطالعه پیشنهادی: مراحل اخذ گواهینامه ایزو