بررسی تغییرات ISO 27005:2018، نسخه جدید استاندارد مدیریت ریسک

  • نویسنده: میثم ارجمندفر
  • تاریخ انتشار: دوشنبه ، ۰۱ مرداد ماه ۹۷
  • تعداد بازدید: 2267
  • تعداد نظرها: 0
  • دسته بندی: مدیریت ریسک

استاندارد ISO/IEC 27005:2018 به عنوان یک استاندارد پرکاربرد در زمینه انجام مدیریت ریسک در سازمان‌ها و شرکت‌های دارای سیستم مدیریت امنیت اطلاعات شناخته می شود. نسخه قبلی این استاندارد مربوط به سال 2011 می باشد که در حال حاضر نسخه جدید 2018 آن منتشر شده است. در این مقاله سعی داریم نگاهی مختصر به مهم‌ترین تغییرات انجام شده در نسخه جدید این استاندارد داشته باشیم.

مدیریت ریسک های کسب و کار یکی از مهم‌ترین اقداماتی که در چند سال اخیر بسیار مورد توجه شرکت‌ها و سازمان‌ها قرار گرفته است و استانداردهای مهمی در این زمینه نظیر ISO/IEC 27005 و استاندارد ISO/IEC 31000 مورد استفاده قرار می‌گیرد که در مقاله‌ای به مقایسه این دو استاندارد پرداخته شده است. همچنین در مقاله‌ای دیگر به بررسی الزامات مندرج در استاندارد ISO 27005 پرداخته ایم، علاوه بر این، قوانین جدید مانند مقررات حفاظت از اطلاعات عمومی (GDPR) در اروپا سازمانها را تحت فشار قرار داده اند تا اطلاعات خود را امن نگه دارند که این نشان‌دهنده اهمیت ارزیابی ریسک در امنیت اطلاعات و محافظت از اطلاعات می‌باشد.

تغییرات اصلی در نسخه جدید به شرح ذیل می باشد:

  • در بخش هایی از این استاندارد به نسخه ISO/IEC 27001:2005 اشاره شده است که با توجه به قدیمی بودن این نسخه و انتشار نسخه 2013، این بخش ها از استاندارد حذف شده است.
  • در نسخه جدید به صراحت بیان شده است که این استاندارد صرفاً یک  راهنما در پیاده‌سازی الزامات ارزیابی ریسک، مندرج در استاندارد ISO/IEC 27001 می باشد.
  • در قسمت کتابشناسی یا Bibliography استاندارد ISO/IEC 27001:2005 افزوده شده است.
  • ضمیمه یا Annex G در این استاندارد که شامل جدول مقایسه‌ای بین نسخه 2008 و 2011 این استاندارد بود نیز حذف شده است
  • سایر تغییرات شامل وایرایش های انجام شده در متن استاندارد می باشد.

همان طور که ملاحظه می گردد، تقریبا تغییرات صورت پذیرفته (به غیر از مورد دوم) با توجه به به روزرسانی استاندارد ISO 27001 طبیعی و قابل پیش بینی بوده اند. اما در خصوص مورد دوم، می توان موضوع را به صورت زیر تحلیل نمود.

شرکت‌هایی که تمایل به پیاده‌سازی سیستم مدیریت امنیت اطلاعات یا ISMS دارند. معمولاً تمایل زیادی در خصوص انطباق فرآیند ارزیابی ریسک خود مطابق با استاندارد ISO/IEC 27005 دارند که در برخی از موارد این استاندارد را به عنوان یک الزام در پیاده‌سازی سیستم مدیریت امنیت اطلاعات در نظر می‌گیرند. در حالیکه این استاندارد هیچ روش خاصی برای مدیریت ریسک امنیت اطلاعات ارائه نمی دهد. در واقع می توان مهمترین تغییر و نکته در نسخه جدید استاندارد ISO 27005 را این موضوع دانست که به صورت شفاف مشخص شده است که استاندارد مذکور تنها یک فریم ورک محسوب می شود و نباید به عنوان یک متدولوژی قلمداد گردد. در بخش معرفی این استاندارد، رویکرد دارایی-آسیب پذیری-تهدید را به عنوان بنیان اساسی فریم ورک توضیح داده شده در این استاندارد معرفی می کند، در صورتیکه این رویکرد دیگر به عنوان یک الزام در الزامات متدولوژی مدیریت ریسک خواسته شده از سوی ISO 27001 نسخه 2013 محسوب نمی شود. به نظر می رسد نتیجتا به نظر می رسد این نوع توضیحات و تغییرات مندرج در نسخه 2018 استاندارد، قصد دارد تا جایگاه راهنما بودن (به جای الزام بودن) استاندارد را بیش از پیش برای مخاطبین تبیین نماید.

 لذا سازمان‌ها می‌بایست رویکرد مدیریت ریسک خود را  بر مبنای نوع فعالیت سازمان، نوع و حجم سرویس‌ها و دارایی‌های اطلاعاتی، دامنه سیستم مدیریت امنیت اطلاعات (ISMS) و سایر عوامل تاثیر گذار تعیین نمایند. در استاندارد ISO/IEC 27005 چارچوب ارزیابی ریسک بر اساس شناسایی تهدیدات و آسیب پذیری‌های دارایی های اطلاعاتی می‌باشد که در این استاندارد به برخی این متدولوژی های ارزیابی ریسک مبتنی بر این چارچوب اشاره می‌نماید.

نویسنده: میثم ارجمندفر دسته بندی: مدیریت ریسک