تغییر استاندارد ISO27001:2005 در سیستم مدیریت امنیت اطلاعات

به گزارش جام جم کلیک: خبر تغییر استاندارد ISO27001:2005 و جایگزینی آن با نسخه جدید آن، استاندارد ISO27001:2013، خبری است که تحولی شگرف در مفاهیم اساسی استاندارد سیستم مدیریت امنیت اطلاعات (ISMS) ایجاد نموده است. به همین دلیل، آشنایی با این تغییرات مهم برای مجریان و مشتریان مهم است. برخی از تغییرات مهم در نگارش جدید به شرح زیر است: چرخه&zwnj;ی طراحی، اجرا، بررسی و اصلاح که تحت عنوان PDCA در استاندارد ISO27001:2005 به عنوان یک الزام در نظر گرفته شده بود، در نسخه ی جدید به عنوان یک الزام در نظر گرفته نشده و سازمان&zwnj;ها می&zwnj;توانند از هر رهیافت و متدولوژی برای بهبود مستمر استفاده کنند. البته همچنان می&zwnj;توان از این چرخه به عنوان یک روش بهبود مستمر استفاده کرد اما با توجه به اینکه استفاده از آن الزام نشده است بکارگیری دیگر روش&zwnj;ها نیز بلامانع است. در بحث مدیریت مخاطرات، مفهوم مالک دارایی (Asset Owner) حذف شده و به جای آن مالک مخاطره (Risk Owner) استفاده شده است. بدین معنا که، در ویرایش قبلی استاندارد مشخص کردن مالک هر دارایی یک الزام بوده است و همچنین یک ارزیابی آسیب&zwnj;پذیری مبتنی بر تهدید پیاده&zwnj;سازی می&zwnj;شد و حال آنکه در نسخه&zwnj;ی جدید، به جای مالک دارایی از مالک ریسک نام&zwnj; برده شده است و تنها الزام در رابطه با ریسک، شناسایی آنها با توجه به معیارهای محرمانگی، صحت و دسترس&zwnj;پذیری است. هدف از این تغییر ایجاد سازگاری بین فرآیند مدیریت ریسک با استاندارد ایزو 31000 است. متدلوژی مدیریت مخاطرات می تواند بنا به نیاز سازمان انتخاب شود و حتی شناسایی آسیب پذیری ها و تهدیدها دیگر پیش&zwnj;نیاز شناسایی مخاطرات نیست. بخش جدیدی با عنوان عدم&zwnj;انطباق به استاندارد اضافه شده است. این بخش شامل حوادث و مدیریت حوادث است و همچنین عدم&zwnj;انطباقات دیگر را نیز شامل می&zwnj;شود. به صورتیکه، به هرگونه ناسازگاری با استاندارد،&zwnj; عدم&zwnj;انطباق گفته می&zwnj;شود که علاوه بر حوادث امنیت اطلاعات می&zwnj;تواند موارد دیگری مانند انحرافات شناسایی شده در ممیزی&zwnj;های داخلی یا شکاف&zwnj;های مربوط به سطوح امنیتی را نیز شامل شود. بخشی در رابطه با نیازمندی&zwnj;های نظارتی و معیار&zwnj;های کارایی اضافه شده است که نشان از اهمیت به بحث شاخص&zwnj;های کارایی و اثربخشی است. در واقع هدف این است که سازمان&zwnj;ها کارایی کنترل&zwnj;های پیاده&zwnj;سازی شده را ارزیابی و پایش نمایند. به همین منظور نیاز به تعریف و شناسایی شاخص&zwnj;هایی جهت ارزیابی معیار&zwnj;های امنیتی پیاده&zwnj;سازی شده است. در ویرایش قبلی استاندارد فرآیند ارزیابی ریسک شامل موارد زیر بوده است: شناسایی دارایی&zwnj;ها شناسایی تهدیدات مرتبط با دارایی&zwnj;ها شناسایی آسیب&zwnj;پذیری&zwnj;هایی که ممکن است از این تهدیدات سوء استفاده کنند تحلیل و ارزیابی ریسک علاوه بر این، استراتژی&zwnj;های برخورد با ریسک نیز شامل موارد زیر بوده&zwnj;اند: کاهش ریسک پذیرش ریسک اجتناب از ریسک انتقال ریسک این روند کاملاً منطبق بر استاندارد 27005 می&zwnj;باشد که همچنان معتبر است ولیکن سازمان&zwnj;ها می&zwnj;توانند بنابر کاربرد و ضرورت از روش&zwnj;های دیگری نیز استفاده نمایند. مصطفی عزیزی امن پرداز