بررسی تغییرات نسخه جدید (2018) استاندارد ISO/IEC 27000: واژگان و اصطلاحات ISMS

  • نویسنده: میثم ارجمندفر
  • تاریخ انتشار: یک‌شنبه ، ۲۰ اسفند ماه ۹۶
  • تعداد بازدید: 1160
  • تعداد نظرها: 0
  • دسته بندی: سیستم مدیریت امنیت اطلاعات

از جمله اصول و ویژگی های تدوین یک استاندارد به‌روزرسانی آن در بازه‌های زمانی و با توجه به نیاز و شرایط روز جوامع و تکنولوژی می‌باشد. در حال حاضر هر یک از استانداردهای خانواده(سری) ISO 27000 ممکن است مورد بازنگری و ویرایش قرار گرفته و به صورت رسمی نیز از طریق سایت سازمان ISO به آدرس https://www.iso.org منتشر گردد. در این مقاله در نظر داریم آخرین نسخه از استاندارد ISO/IEC 27000 را که در خصوص واژگان و اصطلاحات امنیت اطلاعات و به عنوان ویرایش پنجم که در فوریه 2018 منتشر شده است را مورد بررسی قرار داده و به صورت کلی با نسخه قبلی آن در سال 2016 مقایسه نماییم. همچنین متن این استاندارد در بخش استانداردهای وب سایت شرکت آشنا ایمن قابل دسترس است.

همانطور که می‌دانید هر یک از استانداردهای تخصصی و فنی دارای مفاهیم متعددی می‌باشد که در یک استاندارد مجزا تعریف و به عنوان مرجع در سایر استاندارد‌ها مورد استفاده قرار می‌گیرد که مهم‌ترین مزیت آن عدم تعریف مفاهیم مغایر و یا تکراری در استاندارد‌های دیگر است. معمولاً استانداردها ممکن است از دو بعد (1- فنی و محتوایی 2- ظاهری و ساختاری) مورد بازنگری قرار گیرند. تغییرات ظاهری و ساختاری شامل تغییر شماره‌ها و ترتیب بند‌ها و جملات استاندارد به علت حذف یا اضافه نمودن بخشی از محتوای استاندارد می‌باشد اما نوع دیگر تغییرات شامل تغیییرات فنی و محتوایی می‌باشد که با توجه به نظرات و اصلاحات کمیته فنی در متن استاندارد اعمال می‌گردد. در حال حاضر تغییرات استاندارد ISO/IEC 27000:2018 در مقایسه با نسخه قبلی به صورت کلی شامل موارد ذیل می‌باشد:

    1- مقدمه استاندارد مورد اصلاح قرار گرفته است

همانطور که ملاحظه می‌کنید در نسخه جدید از معرفی استانداردهای دیگر خانواده ISMS چشم‌پوشی شده است و در بخش هدف این سند صرفاً به دسته‌بندی استانداردهای خانواده ISMS پرداخته است که در مقاله‌ای با عنوان معرفی خانواده استانداردهای سیستم مدیریت امنیت اطلاعات (سری ISO 27000) به تشریح و تفضیل به آن اشاره شده است.

همچنین در بند محتوای سند که در نسخه جدید اضافه شده است به تعریف کاربرد واژگان زیر پرداخته است، لازم به ذکر است این واژگان به عنوان افعال کلیدی در مطالعه هر استانداردی به منظور درک صحیح از میزان شدت و اهمیت و همچنین درجه الزامی یا اختیاری بودن مفاد مستند می بایست توسط خواننده درنظر گرفته شوند و منحصر به خانواده استانداردهای سیستم مدیریت امنیت اطلاعات نمی باشند.:

  • Shall : عبارتی که نشان‌دهنده یک الزام می‌باشد
  • Should : عبارتی که نشان‌دهنده یک توصیه می‌باشد
  • May : عبارتی که نشان‌دهنده مجاز بودن انجام یک اقدام می‌باشد
  • Can : عبارتی که نشان‌دهنده احتمال یا امکان انجام یک اقدام یا موقعیت می‌باشد

نکته مهم دیگری که در این سند به آن اشاره شده است این است که واژگان و اصطلاحاتی که در این استاندارد تعریف شده است صرفاً شامل واژگان و اصطلاحات رایج و متداول در استاندارد بوده و پوشش دهنده کلیه واژگان و اصطلاحات استاندارد نمی‌باشد و همچنین بیان می‌دارد که استاندارد‌های خانواده ISO 27000 فقط محدود به استفاده از این واژگان نمی‌باشند.

    2- برخی از اصطلاحات و تعاریف حذف شده است

دسته دیگر تغییرات حذف تعدادی از واژگان از قسمت تعاریف و اصطلاحات می‌باشد که شامل موارد ذیل می باشد:

 

 

در میان واژگان فوق موارد ستاره‌دار واژگان و اصطلاحاتی هستند که از سایر استانداردهای دیگر نظیر ISO/IEC 15939:2007، ISO Guide 73:2009، ISO 9000:2015 به آن استناد شده است. ضمن اینکه واژه Information security management system (ISMS) professional به عنوان واژه جدید به این سند افزوده شده است.

    3- بند سوم استاندارد به صورت کلان تنظیم شده است

همانطور که اشاره شد بند 3 استاندارد شامل تعاریف و اصطلاحات می‌باشد که به صورت کلی تر بیان شده است و برخی از واژگان آن نیز حذف شده است. اما در ابتدای بند3 استاندارد 2 پایگاه داده جهت جستجو و یکپارچه سازی اصطلاحات موجود در کلیه استانداردها ISO و IEC به آدرس‌های ذیل معرفی می‌نماید :

    4- بند 5 به‌روزرسانی شده است تا منعکس کننده تغییرات مربوط به استانداردها باشد

 بند 5 استاندارد در نسخه 2018 که معادل بند 4 در نسخه 2016 می باشد به معرفی استانداردهای خانواده ISO 27000 در دسته های مختلف می پردازد. که با توجه به به روز رسانی هایی که در این استانداردها صورت پذیرفته است استاندارد ISO 27000 نیز این به روز رسانی ها را  در نسخه 2018 خود اعمال نموده است. به عنوان مثال در نسخه 2018 و در دسته استانداردهایی که به عنوان راهنما به آنها اشاره شده است استاندارد جدیدی تحت عنوان ISO/IEC 27021 که راهنمایی جهت تعیین الزامات مورد نیاز برای افراد متخصص در پیاده سازی سیستم مدیریت امنیت اطلاعات می باشد را معرفی می نماید

    5- ضمیمه های A و B حذف شده اند

 در نسخه 2016 این استاندارد دو پیوست ضمیمه شامل اطلاعات مفید و کمک‌کننده موجود بود که ضمیمه A  شامل عبارات کلامی بوده که به‌صورت خلاصه در قسمت محتوای این سند در بخش مقدمه به آن اشاره و به‌منظور جلوگیری از تکرار ضمیمه A از نسخه 2018 حذف‌شده است. ضمیمه B نیز که شامل واژگان به تفکیک هر یک از استانداردهای خانواده ISO/IEC 27000 می‌باشد به دلیل ارجاع دهی به یک مرجع یکسان و جلوگیری از تکرار حذف‌شده است.