سیستم مدیریت امنیت اطلاعات به عنوان یک سیستم مدیریتی نقش بسیار مهمی در ارتقا امنیت اطلاعات در سازمان‌ها و شرکت‌ها دارد. این سیستم مطابق با الزامات مطرح شده در استاندارد ISO/IEC 27001 که از سوی نهاد بین المللی International Organization for Standardization تدوین شده است، پیاده سازی می گردد. (اگر تاکنون با استاندارد ISO 27001 آشنا نشده اید، در ابتدا توصیه می‌کنم مقاله چگونه گواهینامه ISMS دریافت کنیم؟ از کجا باید شروع کرد؟ را مطالعه نمایید.) سازمان بین‌المللی استاندارد که متولی تدوین کلیه استاندارد‌ها می باشد هر استاندارد را در بازه‌های زمانی معین و با یک فرآیند کاملاً مشخص مورد بازنگری (Revision) قرار می‌دهد و با توجه به اینکه برای هر استاندارد یک چرخه‌ حیات (Life Cycle) وجود دارد اقدام به انتشار نسخ جدید می نماید. این بازنگری اعم از کلی و جزئی در هر استاندارد می بایست اعمال شود. در مقاله ای با عنوان معرفی خانواده استانداردهای سیستم مدیریت امنیت اطلاعات (سری ISO 27000) به انواع استانداردهای موجود در خانواده ISO/IEC 27000 و نحوه دسته بندی آنها اشاره شده است، حال در این مقاله نیز در نظر داریم به آخرین تغییرات اعمال شده در استاندارد ISO/IEC 27001:2013 و توضیح آن بپردازیم.

با نگاهی به تاریخچه استاندارد ISO/IEC 27001 متوجه خواهیم شد که اولین استاندارد‌ متداول و رسمی مطرح شده در حوزه سیستم مدیریت امنیت اطلاعات از سوی موسسه استاندارد انگلستان British Standards Institution یا BSI می باشد که در سال 1995 و با عنوان BS 7799  مطرح شده است. این استاندارد در سالیان بعد با عنوان ISO/IEC 27001 از سوی سازمان نهاد بین المللی International Organization for Standardization به عنوان یک استاندارد جامع در اختیار کلیه نهاد‌های مرتبط قرار گرفته و از اعتبار جهانی برخوردار است. در شکل زیر می توان روند تغییرات و تاریخچه استاندارد ISO 27001 را مشاهده نمود.

همانطور که اشاره شده هر استاندارد با توجه به بازنگری ها و نظرات ارائه شده از سوی متخصصین این حوزه نیازمند به انجام اصلاحات و بروزرسانی دارد و سازمان بین‌المللی استاندارد نیز این اصلاحات را هرچند جزئی در قالب یک اصلاحیه (Corrigenda) در همان چرخه عمر نسخه فعلی منتشر می نماید. آخرین نسخه منتشر شده از استاندارد ISO/IEC 27001 نسخه 2013 این استاندارد می باشد که 2 اصلاحیه از آن در سپتامبر 2014 و دسامبر 2015 از سوی سازمان  ISO ارائه شده است و در مارس 2017 نیز آخرین اصلاحیه آن توسط موسسه استاندارد انگلستان BSI ارائه گردید که از آن به عنوان نسخه بازنگری شده اروپایی این استاندارد یاد می شود.

اصلاحیه اول : سپتامبر 2014

در این اصلاحیه، سازمان استاندارد در قسمت پیوست A مربوط به کنترل های امنیتی، در حوزه A.8 (مدیریت دارایی‌ها)، کنترل (Inventory of Assets) با شماره A.8.1.1 (فهرست دارایی ها) را در این استاندارد به شرح ذیل اصلاح نموده است:

این تغییر ایجاد شده به صراحت روشن می سازد که اطلاعات و داده‌ها نیز خود به تنهایی به عنوان یک دارایی محسوب شده و می‌بایست در لیست دارایی ها درج شوند و نمی‌توان صرفاً به تجهیزات و امکانات پردازش اطلاعات بسنده نمود. در واقع این تغییر جزئی به منظور شفاف سازی هرچه بیشتر در خصوص تهیه لیست دارایی های اطلاعاتی انجام شده است. شاید دلیل اصلی ارائه این اصلاحیه تمرکز بیش از حد سازمان ها به مباحث تجهیزات و امکانات پردازشی نظیر سرویس دهنده ها، تجهیزات شبکه و غیره در لیست دارایی های اطلاعاتی و متعاقب آن فرآیند ارزش گذاری دارایی های اطلاعاتی و همچنین مدیریت ریسک بوده است، موضوعی که در بسیاری از مواقع موجب نادیده گرفتن صورت مسئله اصلی و دارایی های با ارزشی همچون داده ها و اطلاعات می شود.

اصلاحیه دوم : دسامبر 2015

اصلاحیه دوم مربوطه به مقابله با ریسک امنیت اطلاعات در بند 6.1.3 (information security risk treatment) قسمت d از متن استاندارد می باشد. که به شرح ذیل تغییر یافته است.

این اصلاحیه به صورت خاص به سند بیانیه کاربردپذیری (SOA) اشاره دارد. لذا استاندارد با انجام این اصلاح سعی در شفاف کردن نحوه ایجاد این سند نموده است، به نحوی که استاندارد اشاره می کند سند بیانیه کاربرد پذیری می بایست حداقل شامل 4 مورد فوق باشد.

 توجه به این نکته بسیار ضروری است که کنترل‌های کاربردپذیر در پیاده سازی استاندارد صرفاً شامل کنترل‌های پیوست ضمیمه A و همچنین سایر کنترل‌های داخلی سازمان نمی‌باشد بلکه سازمان می بایست با مراجعه به سایر منابع و استانداردها تخصصی دیگر کنترل‌های مورد نیاز خود را شناسایی و طراحی نماید.

اصلاحیه سوم : مارس 2017

آخرین اصلاحیه از این استاندارد که در سال 2017 منتشر شده است، مربوطه به نسخه اروپایی این استاندارد (BS ISO/IEC 27001:2013) می باشد که در آن تقریباً چیزی تغییر نکرده است و صرفاً تغییرات مربوطه نحوه شماره‌گذاری آن با عنوان BS EN ISO/IEC 27001:2017 می باشد که اشاره به نسخه اروپایی این استاندارد و اعمال شدن دو تغییر قبلی دارد. این استاندارد به تایید کمیته استانداردسازی اروپا European Committee for Standardization یا CEN و کمیته استانداردسازی الکتروتکنیک اروپا European Committee for Electrotechnical Standardization یا CENELEC رسیده است. از طرفی وضعیت EN بدان معنی است که 34 کشور عضو در این کمیته‌ها می بایست این استاندارد را در سطح ملی پذیرفته باشند و استانداردهای مغایر با آن را کنارگذاشته باشند. در حال حاضر برای شرکت‌های که دارای گواهینامه ISO 27001 می باشند چیزی تغییر نکرده است اما این نهادهای استانداردسازی می‌بایست انطابق با نسخه اروپایی استاندارد European ISO 27001 را مدنظر داشته باشند.