استاندارد ISO 27002 به‌عنوان مرجع و راهنمایی جهت پیاده‌سازی کنترل‌های امنیتی ضمیمه الف استاندارد ISO 27001 در حوزه سیستم مدیریت امنیت اطلاعات مطرح است. در استاندارد ISO 27002، هر یک از کنترل­‌های موجود در این ضمیمه مورد بررسی و تشریح قرار گرفته و راهکارهایی برای پیاده‌سازی آن ارائه شده است. در حال حاضر، حدود یک دهه از انتشار آخرین نسخه استاندارد ISO 27002 در سال 2013 می­‌گذرد و بنا به اصول بازنگری دوره‌ای استانداردها، آخرین نسخه معتبر و نهایی این استاندارد بین­‌المللی به تازگی در تاریخ 26 بهمن ماه سال 1400 منتشر شده است. اولین نسخه این استاندارد نیز در سال 2005 منتشر گردیده بود؛ لذا نسخه 2013 با عنوان نسخه دوم و به‌روزرسانی اخیر در سال 2022 با عنوان نسخه سوم در نظر گرفته می‌شوند. البته در سال­‌های 2014 و 2015 نیز دو اصلاحیه مختصر در خصوص این استاندارد منتشر شده است.

در این مقاله سعی شده است تا مهم­‌ترین تغییرات نسخه نهایی استاندارد ISO/IEC 27002 را در مقایسه با نسخه 2013 آن مورد بررسی قرار دهیم و در پایان نیز نگاهی خواهیم داشت به تأثیری که این تغییرات بر روی سیستم‌های مدیریت امنیت اطلاعات فعال در سازمان‌ها و شرکت‌ها خواهد گذاشت. پیش از این، در مقالاتی مشابه تحت عنوان آخرین تغییرات نسخه جهانی و اروپایی استاندارد ISO 27001 در سال 2017 و بررسی تغییرات نسخه جدید (2018) استاندارد ISO/IEC 27000: واژگان و اصطلاحات ISMS، تغییرات برخی دیگر از استانداردهای خانواده 27000 سازمان جهانی استاندارد (ISO) مورد بررسی قرار گرفته است.

1- تغییرات ساختاری

1-1- تغییر در عنوان استاندارد

بارزترین تغییر، حذف عبارت Code of Practice از عنوان استاندارد در ویرایش سوم آن است که هدف از این تغییر، معرفی نسخه جدید به­‌عنوان مجموعه‌­ای­ مرجع از کنترل­‌های امنیت اطلاعات است.

عنوان در نسخه دوم:  “Code of practice for information security controls”

 عنوان در نسخه سوم:   “Information security controls”

2-1- تغییر در تعداد حوزه‌­ها

همانطور که می­‌دانید، نسخه 2013 استاندارد ISO 27002 شامل 114 کنترل، 14 حوزه یا دامنه کنترلی و 35 هدف کنترلی بوده که در نسخه سوم، تعداد حوزه‌­ها به 4 حوزه یا بخش با عناوین سازمانی، فردی، فیزیکی و فنی کاهش یافته است.

• A.5 - کنترل­‌های سازمانی: این حوزه شامل 37 کنترل­ در خصوص موضوعات مختلف مرتبط با سازمان است.
• A.6- کنترل­‌های فردی: این حوزه که دارای 8 کنترل است، امنیت منابع انسانی را مورد اشاره قرار می‌­دهد.
• A.7- کنترل‌­های فیزیکی: همانطور که از نام آن مشخص است، این حوزه بر روی محیط فیزیکی تمرکز می‌­نماید که 14 کنترل را دربرمی­‌گیرد.
• A.8- کنترل‌­های فنی: این حوزه نیز موارد فنی امنیت شامل شبکه، نرم‌افزار و ... را مطرح می‌­نماید که شامل 34 کنترل می‌­گردد.

3-1- حذف هدف کنترلی

همانطور که اشاره شد، نسخه 2013 استاندارد ISO 27002 شامل 35 هدف کنترلی بود که در نسخه جدید، این اهداف کنترلی حذف شده و به جای تعریف هدف برای گروهی ­از کنترل‌­ها، برای هر کنترل­ بخشی تحت عنوان هدف یا Purpose اضافه شده است که دلایل نیاز به پیاده‌­سازی هریک از کنترل­‌ها را به‌صورت مجزا تشریح می‌­نماید. در واقع دسته‌بندی سه سطحی کنترل‌ها (به‌عنوان مثال کنترل A.5.1.1)، در نسخه سوم به دو سطحی (به‌عنوان مثال کنترل A.5.1) تغییر یافته است.

4-1- تغییر در تعداد کنترل‌­ها

یکی دیگر از این تغییرات، کاهش تعداد کنترل­‌ها از 114 به 93 مورد است که پیشرفت مداوم و پیدایش تکنولوژی‌های جدید، تلفیق برخی کنترل­‌ها و همچنین تهدیدات و آسیب‌پذیری‌های تازه کشف شده، می‌­تواند از دلایل تغییر در تعداد کنترل­‌ها باشد. استاندارد جدید مجموعاً 93 کنترل دارد که 11 مورد جدید را در آن نسبت به استاندارد سال 2013 شاهد هستیم، همچنین 24 مورد با یکدیگر تلفیق شده و 58 کنترل امنیتی به‌روز شده‌اند؛ لذا کاهش کنترل‌ها از 114 به 93 عدد به منزله حذف هیچ یک از کنترل‌های امنیتی نیست. در ادامه، هریک از این کنترل‌­ها شرح داده­ شده‌­اند:

2- کنترل­‌های جدید

11 کنترل کاملاً جدید در نسخه 2022 اضافه شده که عنوان و شماره مربوط به این کنترل­‌ها در جدول زیر ذکر شده است:

همانطور که در جدول فوق نیز مشاهده می‌شود، 7 مورد از کنترل‌های جدید مربوط به بخش فنی (A.8)، 3 مورد مربوط به بخش سازمانی (A.5) و تنها یک مورد به بخش کنترل‌های فیزیکی (A.7) اختصاص پیدا کرده است. از سوی دیگر، حوزه منابع انسانی یا همان کنترل‌های فردی (A.6) شامل کنترل جدیدی نیست.

3- کنترل­‌های ادغام شده

به‌­طور کلی، 57 کنترل از نسخه 2013 استاندارد ISO 27002 با یکدیگر تلفیق شده و 24 کنترل را در نسخه جدید تشکیل داده‌­اند. در جدول ذیل، فهرست این کنترل‌­ها قابل مشاهده است.

همانطور که در جدول بالا ملاحظه می­‌کنید، تنها کنترل تکراری یا به عبارت دیگر، کنترلی که به دو بخش در نسخه جدید تقسیم شده است، 18.2.3- بازبینی انطباق فنی بوده که برای هر دو کنترل 5.36- انطباق با خط­مشی‌­ها، قوانین و استانداردهای امنیت اطلاعات و 8.8- مدیریت آسیب­‌پذیری‌­های فنی، مورد استفاده قرار گرفته است.

4- کنترل­‌های به‌روزشده

علاوه بر کنترل‌­های جدید و ادغام‌­شده، عنوان و/یا شناسه 58 کنترل دیگر در نسخه جدید استاندارد ISO 27002 مورد بازنگری قرار گرفته که از این تعداد، 35 کنترل دارای عنوان مشابه با نسخه 2013 بوده و فقط شناسه آن تغییر کرده است. همچنین 23 کنترل دیگر برای فهم راحت‌­تر موضوع، عنوان آن به‌­روزرسانی شده، اما ماهیت و مفهوم کنترل­‌ها ثابت باقی مانده است. لیست این کنترل­‌ها در جداول زیر به تفکیک حوزه کنترلی ذکر گردیده است که عناوین ویرایش‌­شده با علامت * مشخص شده‌­اند.

1-4- کنترل­‌های به‌­روزرسانی‌­شده در حوزه سازمانی

2-4- کنترل­‌های به‌­روزرسانی‌­شده در حوزه فردی

3-4- کنترل­‌های به‌­روزرسانی‌­شده در حوزه فیزیکی

4-4- کنترل­‌های به‌­روزرسانی‌­شده در حوزه فنی

5- اضافه شدن Attribute

یکی از جالب‌ترین تغییرات در نسخه جدید، اضافه شدن مفهومی به نام Attribute برای هر کنترل است. به­ منظور دسته‌­بندی بهتر و انتخاب راحت‌­تر هر کنترل، استاندارد ISO 27002 در نسخه جدید خود، 5 نوع Attribute را معرفی نموده است که یک سازمان از این طریق می‌­تواند مرتب‌­سازی و فیلتر هریک از کنترل­­‌ها را بر اساس معیارهای مختلف انجام دهد.

به‌ عنوان مثال، برای کنترل 5.1- خط‌مشی‌های امنیت اطلاعات، مقادیر Attributeها به صورت زیر تعریف می‌­شوند:

از سوی دیگر برای کنترل 8.8- مدیریت آسیب­‌پذیری‌­های فنی، مقادیر Attributeها به صورت زیر تعریف می‌­شوند:

6- جمع‌بندی و روند مهاجرت به استاندارد جدید

به طور کلی در این مقاله سعی کردیم به بررسی تغییرات نسخه نهایی استاندارد ISO 27002:2022 بپردازیم. همانطور که اشاره شد، در ویرایش جدید شاهد تغییراتی در ساختار استاندارد، حوزه‌ها و کنترل‌­ها هستیم.

اکنون ممکن است این سؤال برای شما پیش بیاید که با توجه به تغییرات موجود در نسخه جدید استاندارد ISO 27002، سازمان­‌هایی که پیش از این، گواهینامه ISO 27001 را اخذ نموده‌­اند و یا در حال دریافت آن هستند، چه باید بکنند؟

در این خصوص، سازمان‌­ها باید موارد ذیل را مدنظر قرار دهند:

• تحلیل کاستی‌­ها و فرآیند مقابله با ریسک خود را با توجه به ساختار و شناسه‌­های کنترل­ جدید به‌روزرسانی نمایند.
• سند بیانیه کاربردپذیری را مطابق با کنترل‌­های جدید تدوین نموده و موارد کاربردپذیر و کاربردناپذیر را برای هریک از این کنترل­‌ها مورد بررسی قرار دهند.
• خط­مشی­‌ها و روش‌­های اجرایی خود را بازبینی نموده و یا در صورت نیاز، اسناد جدیدی را مطابق با این کنترل‌­ها تدوین نمایند.
• و برنامه ممیزی داخلی و قالب گزارش ممیزی داخلی را به‌­روزرسانی کنند.

شایان ذکر است که تغییر استاندارد ISO 27002 علاوه بر ISO 27001 می­‌تواند استانداردهای دیگر نظیر ISO 27701 ،ISO 27017 و ISO 27018 را نیز تحت تأثیر خود قرار دهد.