تغییر استاندارد ISO27001:2005 در سیستم مدیریت امنیت اطلاعات

به گزارش جام جم کلیک: خبر تغییر استاندارد ISO27001:2005 و جایگزینی آن با نسخه جدید آن، استاندارد ISO27001:2013، خبری است که تحولی شگرف در مفاهیم اساسی استاندارد سیستم مدیریت امنیت اطلاعات (ISMS) ایجاد نموده است. به همین دلیل، آشنایی با این تغییرات مهم برای مجریان و مشتریان مهم است.

برخی از تغییرات مهم در نگارش جدید به شرح زیر است:

1. چرخه‌ی طراحی، اجرا، بررسی و اصلاح که تحت عنوان PDCA در استاندارد ISO27001:2005 به عنوان یک الزام در نظر گرفته شده بود، در نسخه ی جدید به عنوان یک الزام در نظر گرفته نشده و سازمان‌ها می‌توانند از هر رهیافت و متدولوژی برای بهبود مستمر استفاده کنند. البته همچنان می‌توان از این چرخه به عنوان یک روش بهبود مستمر استفاده کرد اما با توجه به اینکه استفاده از آن الزام نشده است بکارگیری دیگر روش‌ها نیز بلامانع است.
2. در بحث مدیریت مخاطرات، مفهوم مالک دارایی (Asset Owner) حذف شده و به جای آن مالک مخاطره (Risk Owner) استفاده شده است.

بدین معنا که، در ویرایش قبلی استاندارد مشخص کردن مالک هر دارایی یک الزام بوده است و همچنین یک ارزیابی آسیب‌پذیری مبتنی بر تهدید پیاده‌سازی می‌شد و حال آنکه در نسخه‌ی جدید، به جای مالک دارایی از مالک ریسک نام‌ برده شده است و تنها الزام در رابطه با ریسک، شناسایی آنها با توجه به معیارهای محرمانگی، صحت و دسترس‌پذیری است. هدف از این تغییر ایجاد سازگاری بین فرآیند مدیریت ریسک با استاندارد ایزو 31000 است.

3. متدلوژی مدیریت مخاطرات می تواند بنا به نیاز سازمان انتخاب شود و حتی شناسایی آسیب پذیری ها و تهدیدها دیگر پیش‌نیاز شناسایی مخاطرات نیست.
4. بخش جدیدی با عنوان عدم‌انطباق به استاندارد اضافه شده است. این بخش شامل حوادث و مدیریت حوادث است و همچنین عدم‌انطباقات دیگر را نیز شامل می‌شود. به صورتیکه، به هرگونه ناسازگاری با استاندارد،‌ عدم‌انطباق گفته می‌شود که علاوه بر حوادث امنیت اطلاعات می‌تواند موارد دیگری مانند انحرافات شناسایی شده در ممیزی‌های داخلی یا شکاف‌های مربوط به سطوح امنیتی را نیز شامل شود.
5. بخشی در رابطه با نیازمندی‌های نظارتی و معیار‌های کارایی اضافه شده است که نشان از اهمیت به بحث شاخص‌های کارایی و اثربخشی است. در واقع هدف این است که سازمان‌ها کارایی کنترل‌های پیاده‌سازی شده را ارزیابی و پایش نمایند. به همین منظور نیاز به تعریف و شناسایی شاخص‌هایی جهت ارزیابی معیار‌های امنیتی پیاده‌سازی شده است.
6. در ویرایش قبلی استاندارد فرآیند ارزیابی ریسک شامل موارد زیر بوده است:

• شناسایی دارایی‌ها
• شناسایی تهدیدات مرتبط با دارایی‌ها
• شناسایی آسیب‌پذیری‌هایی که ممکن است از این تهدیدات سوء استفاده کنند
• تحلیل و ارزیابی ریسک

علاوه بر این، استراتژی‌های برخورد با ریسک نیز شامل موارد زیر بوده‌اند:

• کاهش ریسک
• پذیرش ریسک
• اجتناب از ریسک
• انتقال ریسک

این روند کاملاً منطبق بر استاندارد 27005 می‌باشد که همچنان معتبر است ولیکن سازمان‌ها می‌توانند بنابر کاربرد و ضرورت از روش‌های دیگری نیز استفاده نمایند.

مصطفی عزیزی
امن پرداز