دسته ها

آخرین مطالب

مطالب ISO 27000

استاندارد ایزو

اطلاعات کاربردی

تعریف ISO 27002

تعریف ISO 27002, امنیت اطلاعات و امنیت سایبری

تعریف ISO 27002 چیست؟

استاندارد ISO 27002 مجموعه ای از دستورالعمل های امنیت اطلاعات است که برای کمک به سازمان در پیاده سازی، حفظ و بهبود مدیریت امنیت اطلاعات خود در نظر گرفته شده است. ISO 27002 همچنین برای ارائه راهنمایی برای توسعه استانداردهای امنیتی و شیوه های مدیریت امنیتی موثر در نظر گرفته شده است.

استاندارد ایزو 27002 صدها کنترل و مکانیسم کنترل بالقوه را ارائه می دهد که برای پیاده سازی با راهنمایی های ارائه شده در استاندارد ایزو 27001 طراحی شده اند. کنترل های پیشنهادی فهرست شده در استاندارد برای رسیدگی به مسائل خاص شناسایی شده در طول ارزیابی رسمی ریسک در نظر گرفته شده است.

تاریخچه استاندارد ISO 27002

استاندارد ایزو 27002 توسط سازمان بین المللی استاندارد (ISO) و کمیسیون بین المللی الکتروتکنیکی (IEC) منتشر شده است. ISO 27002 در ابتدا ISO/IEC 1779 نام داشت و در سال 2000 منتشر شد. در سال 2005، زمانی که با ISO 27001 جدید منتشر شد، سازمان ایزو استاندارد ایزو 27002 را با ویرایش جدید منتشر کرد.

استانداردها به طور مرتب به روز می شوند تا ارجاعاتی را به سایر استانداردهای امنیتی صادر شده ISO/IEC مانند ISO/IEC 27000 و ISO/IEC 27005 اضافه کنند، علاوه بر این، بهترین شیوه های امنیت اطلاعات را که از انتشارات قبلی ظهور کرده اند، اضافه می کنند. اینها شامل انتخاب، اجرا و مدیریت کنترل ها بر اساس محیط ریسک امنیت اطلاعات منحصر به فرد سازمان است.

سازمان ایزو در ویرایش سوم استاندارد ایزو 27002 را با 114 کنترل در سال 2013 منتشر کرد و در آخرین ویرایش این استاندارد که در فوریه سال 2022 میلادی منتشر شده 114 کنترل به 93 کنترل کاهش پیدا کرده است.

blank

تغییرات استاندارد ایزو 27002 در آخرین ویرایش

به طور کلی، تعداد کنترل ‌های امنیتی در نسخه جدید ISO 27002:2022 از 114 کنترل در 14 بند در نسخه 2013 به 93 کنترل در نسخه 2022 کاهش یافته است. این کنترل ‌های امنیتی اکنون به چهار «موضوع» کنترل دسته ‌بندی می‌شوند.

اولین تغییر قابل توجه در استاندارد ایزو 27002 نسخه 2022، دور شدن از “کد عمل” و قرار دادن آن به عنوان مجموعه ای از کنترل های امنیت اطلاعات است که می تواند به تنهایی بایستد.

استاندارد بازنگری شده ساختار ساده تری را ارائه می دهد که می تواند در سراسر یک سازمان اعمال شود. نسخه اصلاح شده ISO 27002 اکنون می تواند برای مدیریت یک پروفایل ریسک گسترده تر نیز استفاده شود.

این شامل امنیت اطلاعات و جنبه های فنی بیشتر امنیت فیزیکی، مدیریت دارایی، امنیت سایبری و عناصر امنیتی منابع انسانی است که با حفاظت از حریم خصوصی همراه است.

ISO/IEC 27002 برای به روز رسانی کنترل های امنیت اطلاعات مورد بازنگری قرار گرفته است به طوری که آنها تحولات و شیوه های فعلی امنیت اطلاعات در بخش های مختلف کسب و کار و دولت را منعکس می کنند.

بازنگری جدید ISO 27002  در 15 فوریه 2022 منتشر شد. بسیاری از استانداردها و چارچوب های امنیتی با کنترل های امنیت اطلاعات ISO 27002:2013 مرتبط هستند یا از آنها استفاده می کنند و بنابراین این بازنگری جدید نیز بر آنها تأثیر خواهد گذاشت.

دامنه گسترده شده در استاندارد ISO 27002

اولین تغییر فوری نام استاندارد است. پیش از این، ISO 27002:2013 با عنوان “فناوری اطلاعات – تکنیک های امنیتی – آیین نامه عملکرد برای کنترل های امنیت اطلاعات” عنوان شده بود. 

این استاندارد اکنون در ویرایش سال 2022 “امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی – کنترل های امنیت اطلاعات” نامیده می شود.

چرا استاندارد ایزو 27002 به روزرسانی شد؟

با در نظر گرفتن چشم انداز انطباق مدرن، مقررات، به عنوان مثال GDPR، POPIA و APPS و تداوم کسب ‌وکار در حال تحول و مشکلات ریسک سایبری که سازمان‌ ها با آن مواجه هستند، نیاز به ISO 27002 برای گسترش دامنه کنترل ‌های امنیت اطلاعات آن دیر شده بود.

هدف آخرین ویرایش (2022) بهبود هدف استاندارد با ارائه مجموعه ای مرجع برای اهداف کنترل امنیت اطلاعات و گسترش دامنه استفاده از آن در امنیت اطلاعات، حریم خصوصی و مدیریت ریسک امنیت سایبری است.

اخذ گواهینامه ایزو 3834, شرح در تصویر

تفاوت ایزو 27002 با ایزو 27001 چیست؟

به طور کلی، تعداد کنترل ‌های امنیتی در نسخه جدید ISO 27002:2022 از 114 کنترل در 14 بند در نسخه 2013 به 93 کنترل در نسخه 2022 کاهش یافته است. این کنترل ‌های امنیتی اکنون به چهار «موضوع» کنترل دسته ‌بندی می‌شوند.

کنترل ها توضیح داده شد

“کنترل” به عنوان معیاری تعریف می شود که ریسک را اصلاح یا حفظ می کند. به عنوان مثال، یک خط مشی امنیت اطلاعات تنها می تواند ریسک را حفظ کند، در حالی که پیروی از سیاست امنیت اطلاعات می تواند ریسک را تغییر دهد. علاوه بر این، برخی از کنترل ‌ها یک معیار عمومی را در زمینه‌ های ریسک مختلف توصیف می‌کنند.

تغییرات خاص در جزئیات

مجموعه‌های کنترلی به جای چهارده (14) حوزه کنترل، اکنون در چهار (4) دسته یا موضوعات امنیتی سازماندهی شده‌اند. (قبلاً A5. تا A.18)

این چهار دسته عبارتند از:

  • سازمانی.
  • مردم.
  • فیزیکی.
  • فن آوری.
  • 93 کنترل در نسخه جدید 27002.
  • 11 کنترل جدید هستند.
  • در مجموع 24 کنترل از دو، سه یا چند کنترل امنیتی نسخه 2013 ادغام شدند.
  • 58 کنترل از ISO 27002:2013 برای همسویی با امنیت سایبری و محیط امنیت اطلاعات فعلی بررسی و بازنگری شده است.
  • ضمیمه A، که شامل راهنمایی برای کاربرد ویژگی ها است.
  • ضمیمه B، که با ISO/IEC 27001 2013 مطابقت دارد. این جدول اساساً دو جدول است که ارجاعات متقابل اعداد/شناسه‌ها را برای سهولت مرجع کنترل می‌کند و جزئیات جدید و ادغام شده را توضیح می‌دهد.

11 کنترل جدید در استاندارد ایزو 27002 ویرایش 2022

  1. هوش تهدید
  2. امنیت اطلاعات برای استفاده از خدمات ابری
  3. آمادگی ICT برای تداوم کسب و کار
  4. نظارت بر امنیت فیزیکی
  5. مدیریت پیکربندی
  6. حذف اطلاعات
  7. پوشش داده ها
  8. جلوگیری از نشت داده ها
  9. فعالیت های نظارتی
  10. فیلتر کردن وب
  11. کد نویسی ایمن
مدارکی دال بر آموزش کارکنان, شرح در تصویر

ویژگی های امنیت اطلاعات چیست؟

امنیت اطلاعات شامل حفاظت از جنبه های مختلف اطلاعات است که می تواند توسط مدل سیا نشان داده شود. این جنبه ها شامل محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات است. درک این امر امکان تدوین و اجرای کنترل های موثر امنیت اطلاعات را فراهم می کند. اینها اکنون به عنوان ویژگی ها بر اساس هر کنترل تعریف می شوند.

سه گانه امنیت اطلاعات شامل موارد زیر است:

محرمانه بودن: محرمانه بودن اطلاعات به این معنی است که اقداماتی باید برای محافظت از آن در برابر دسترسی غیرمجاز انجام شود. یکی از راه ‌های دستیابی به این هدف، اعمال سطوح دسترسی مختلف برای اطلاعات بر اساس نیاز به دسترسی و میزان حساسیت اطلاعات است. برخی از ابزارها برای مدیریت محرمانگی شامل رمزگذاری فایل و حجم، لیست های کنترل دسترسی و مجوزهای فایل است.

یکپارچگی: یکپارچگی داده ها بخشی جدایی ناپذیر از سه گانه امنیت اطلاعات است که هدف آن محافظت از داده ها در برابر هرگونه تغییر یا حذف غیرمجاز است. این همچنین شامل اطمینان از این است که تغییرات یا حذف ‌های غیرمجاز ایجاد شده در داده ‌ها را می‌توان لغو کرد.

در دسترس بودن: هدف در دسترس بودن این است که اطمینان حاصل شود که داده ها در صورت نیاز برای کسانی که به آنها نیاز دارند قابل دسترسی است. برخی از خطرات امنیت اطلاعات برای در دسترس بودن عبارتند از خرابکاری، خرابی سخت افزار، خرابی شبکه و قطع برق. این سه مولفه امنیت اطلاعات دست به دست هم می دهند و شما نمی توانید بر روی یکی از آنها به قیمت بقیه تمرکز کنید.

تعریف امنیت سایبری چیست؟

ویژگی های مفاهیم امنیت سایبری در بازنگری استاندارد 2022 معرفی شده است. این مقادیر مشخصه شامل شناسایی، محافظت، تشخیص، پاسخ و بازیابی است. این ISO 27002 را با ISO/IEC TS 27110، چارچوب امنیت سایبری NIST (CSF) و استانداردهای مشابهی که قبلاً ذکر شد، هماهنگ می‌کند.

شناسایی: درک سازمان را برای مدیریت ریسک امنیت سایبری برای سیستم ها، دارایی ها، داده ها و قابلیت ها توسعه دهید.

محافظت: توسعه و اجرای پادمان ها برای ارائه خدمات زیرساختی حیاتی.

تشخیص: توسعه و اجرای فعالیت های مناسب برای تشخیص وقوع یک رویداد امنیت سایبری.

پاسخ: ایجاد و به اجرا درآوردن فعالیت های مناسب برای اقدام در پاسخ به کشف رویدادهای امنیت سایبری.

بازیابی: توسعه و اجرای فعالیت ‌های مناسب برای حفظ برنامه‌ های انعطاف ‌پذیری و بازیابی هر گونه قابلیت یا خدماتی که به دلیل یک رویداد امنیت سایبری آسیب دیده است.

چرا اخذ گواهینامه ایزو 27002 مهم است؟

اگر سازمان شما داده ‌ها را جمع ‌آوری، استفاده یا پردازش کند، همیشه خطرات و تهدیدات امنیتی اطلاعات وجود دارد که باید مراقب آنها باشید. برای محافظت در برابر این خطرات، شما باید یک سیستم مدیریت امنیت اطلاعات (ISMS) داشته باشید تا از محرمانه بودن، در دسترس بودن و یکپارچگی تمام اطلاعات و دارایی های اطلاعاتی اطمینان حاصل کنید.

چالش اصلی پیش روی کسب و کارهای تازه وارد در صحنه مدیریت امنیت اطلاعات، دامنه وسیع آن است. پیاده سازی و حفظ ISMS طیف گسترده ای را در بر می گیرد که اکثر مدیران نمی دانند از کجا شروع کنند. بنابراین اجرای الزامات امنیت اطلاعات و امنیت سایبری در نهایت اخذ گواهینامه ایزو 27002 به همراه اخذ ایزو 27001 می تواند به شرکت ها کمک کند.

مزایای اخذ گواهینامه ایزو 27002 چیست؟

با اجرای کنترل ‌های امنیت اطلاعات عنوان شده در استاندارد ایزو 27002 سازمان‌ ها می‌توانند مطمئن باشند که دارایی‌ های اطلاعاتی آنها توسط بهترین شیوه ‌های شناخته شده و تایید شده بین ‌المللی محافظت می‌شود.

سازمان‌ ها در هر اندازه و سطوح بلوغ امنیتی می‌توانند از مزایای زیر از پایبندی به آیین‌نامه اجرایی ISO 27002 بهره ببرند:

  • اخذ گواهینامه ایزو 27002 یک چارچوب کاری برای حل مسائل مربوط به امنیت اطلاعات، امنیت سایبری، امنیت فیزیکی و حریم خصوصی اطلاعات فراهم می کند.
  • مشتریان و شرکای تجاری اعتماد به نفس بیشتری خواهند داشت و نسبت به سازمانی که استانداردهای توصیه شده و کنترل های امنیت اطلاعات را اجرا می کند، دیدگاه مثبتی خواهند داشت.
  • از آنجایی که سیاست ها و رویه های ارائه شده با الزامات امنیتی شناخته شده بین المللی مطابقت دارد، همکاری با شرکای بین المللی ساده تر است.
  • انطباق با استاندارد به توسعه بهترین شیوه های سازمان کمک می کند که بهره وری کلی را افزایش می دهد.
  • اجرای تعریف شده، مدیریت، نگهداری و ارزیابی سیستم های مدیریت امنیت اطلاعات را ارائه می دهد.
  • یک سازمان منطبق با ISO در مذاکرات قرارداد و مشارکت در فرصت های تجاری جهانی مزیت خواهد داشت.
  • با رعایت کنترل‌ های امنیت اطلاعات ISO 27002، می‌توان از حق بیمه کمتری از سوی ارائه‌ دهندگان بهره برد.

راهنمای پیاده ‌سازی برای انطباق با استاندارد ISO 27001 به طور گسترده در خانواده استانداردهای ISO 27000 از جمله ISO 27701 ارجاع شده است. کنترل‌های امنیت اطلاعات ISO 27002 را می‌توان با استانداردهای مشابه ترسیم کرد، به عنوان مثال. NIST، SOC2، CIS، TISAX و بسیاری دیگر.

دریافت گواهینامه ایزو 27002

ممکن است سازمان شما برای تضمین امنیت اطلاعات و سایبری نیاز به گواهینامه ایزو 27002 داشته باشد. برای دریافت گواهینامه ISO 27002 ابتدا باید یک مرجع معتبر را انتخاب کنید. برای انتخاب مرجع صدور گواهینامه ایزو 27002 می توانید با شرکت هوداک سیستم فرتاک در ارتباط باشید.

برای اخذ گواهینامه ایزو 27002 با ما در ارتباط باشید.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Call Now Button