از جمله اصول و ویژگی های تدوین یک استاندارد بهروزرسانی آن در بازههای زمانی و با توجه به نیاز و شرایط روز جوامع و تکنولوژی میباشد. در حال حاضر هر یک از استانداردهای خانواده(سری) ISO 27000 ممکن است مورد بازنگری و ویرایش قرار گرفته و به صورت رسمی نیز از طریق سایت سازمان ISO به آدرس https://www.iso.org منتشر گردد. در این مقاله در نظر داریم آخرین نسخه از استاندارد ISO/IEC 27000 را که در خصوص واژگان و اصطلاحات امنیت اطلاعات و به عنوان ویرایش پنجم که در فوریه 2018 منتشر شده است را مورد بررسی قرار داده و به صورت کلی با نسخه قبلی آن در سال 2016 مقایسه نماییم. همچنین متن این استاندارد در بخش استانداردهای وب سایت شرکت آشنا ایمن قابل دسترس است.
همانطور که میدانید هر یک از استانداردهای تخصصی و فنی دارای مفاهیم متعددی میباشد که در یک استاندارد مجزا تعریف و به عنوان مرجع در سایر استانداردها مورد استفاده قرار میگیرد که مهمترین مزیت آن عدم تعریف مفاهیم مغایر و یا تکراری در استانداردهای دیگر است. معمولاً استانداردها ممکن است از دو بعد (1- فنی و محتوایی 2- ظاهری و ساختاری) مورد بازنگری قرار گیرند. تغییرات ظاهری و ساختاری شامل تغییر شمارهها و ترتیب بندها و جملات استاندارد به علت حذف یا اضافه نمودن بخشی از محتوای استاندارد میباشد اما نوع دیگر تغییرات شامل تغیییرات فنی و محتوایی میباشد که با توجه به نظرات و اصلاحات کمیته فنی در متن استاندارد اعمال میگردد. در حال حاضر تغییرات استاندارد ISO/IEC 27000:2018 در مقایسه با نسخه قبلی به صورت کلی شامل موارد ذیل میباشد:
همانطور که ملاحظه میکنید در نسخه جدید از معرفی استانداردهای دیگر خانواده ISMS چشمپوشی شده است و در بخش هدف این سند صرفاً به دستهبندی استانداردهای خانواده ISMS پرداخته است که در مقالهای با عنوان معرفی خانواده استانداردهای سیستم مدیریت امنیت اطلاعات (سری ISO 27000) به تشریح و تفضیل به آن اشاره شده است.
همچنین در بند محتوای سند که در نسخه جدید اضافه شده است به تعریف کاربرد واژگان زیر پرداخته است، لازم به ذکر است این واژگان به عنوان افعال کلیدی در مطالعه هر استانداردی به منظور درک صحیح از میزان شدت و اهمیت و همچنین درجه الزامی یا اختیاری بودن مفاد مستند می بایست توسط خواننده درنظر گرفته شوند و منحصر به خانواده استانداردهای سیستم مدیریت امنیت اطلاعات نمی باشند.:
نکته مهم دیگری که در این سند به آن اشاره شده است این است که واژگان و اصطلاحاتی که در این استاندارد تعریف شده است صرفاً شامل واژگان و اصطلاحات رایج و متداول در استاندارد بوده و پوشش دهنده کلیه واژگان و اصطلاحات استاندارد نمیباشد و همچنین بیان میدارد که استانداردهای خانواده ISO 27000 فقط محدود به استفاده از این واژگان نمیباشند.
دسته دیگر تغییرات حذف تعدادی از واژگان از قسمت تعاریف و اصطلاحات میباشد که شامل موارد ذیل می باشد:
در میان واژگان فوق موارد ستارهدار واژگان و اصطلاحاتی هستند که از سایر استانداردهای دیگر نظیر ISO/IEC 15939:2007، ISO Guide 73:2009، ISO 9000:2015 به آن استناد شده است. ضمن اینکه واژه Information security management system (ISMS) professional به عنوان واژه جدید به این سند افزوده شده است.
همانطور که اشاره شد بند 3 استاندارد شامل تعاریف و اصطلاحات میباشد که به صورت کلی تر بیان شده است و برخی از واژگان آن نیز حذف شده است. اما در ابتدای بند3 استاندارد 2 پایگاه داده جهت جستجو و یکپارچه سازی اصطلاحات موجود در کلیه استانداردها ISO و IEC به آدرسهای ذیل معرفی مینماید :
بند 5 استاندارد در نسخه 2018 که معادل بند 4 در نسخه 2016 می باشد به معرفی استانداردهای خانواده ISO 27000 در دسته های مختلف می پردازد. که با توجه به به روز رسانی هایی که در این استانداردها صورت پذیرفته است استاندارد ISO 27000 نیز این به روز رسانی ها را در نسخه 2018 خود اعمال نموده است. به عنوان مثال در نسخه 2018 و در دسته استانداردهایی که به عنوان راهنما به آنها اشاره شده است استاندارد جدیدی تحت عنوان ISO/IEC 27021 که راهنمایی جهت تعیین الزامات مورد نیاز برای افراد متخصص در پیاده سازی سیستم مدیریت امنیت اطلاعات می باشد را معرفی می نماید
در نسخه 2016 این استاندارد دو پیوست ضمیمه شامل اطلاعات مفید و کمککننده موجود بود که ضمیمه A شامل عبارات کلامی بوده که بهصورت خلاصه در قسمت محتوای این سند در بخش مقدمه به آن اشاره و بهمنظور جلوگیری از تکرار ضمیمه A از نسخه 2018 حذفشده است. ضمیمه B نیز که شامل واژگان به تفکیک هر یک از استانداردهای خانواده ISO/IEC 27000 میباشد به دلیل ارجاع دهی به یک مرجع یکسان و جلوگیری از تکرار حذفشده است.