التغييرات الأساسية التي أدخلها ISO 27001:2022
معيار ISO/IEC 27001 يوفر إطارًا دوليًا لأنظمة إدارة أمن المعلومات (ISMS)، ويحدد العمليات التي تقوم بها المنظمات لحماية أصول المعلومات. التحديث الخاص بـ ISO/IEC 27001:2022 الذي تم نشره في 25 أكتوبر 2022 يحتوي على تغييرات هامة لتواكب التطورات في مجال أمن المعلومات.
التغييرات الهيكلية
تم تكييف النسخة الجديدة لتتوافق مع معايير أنظمة الإدارة الأخرى، وتم تضمينها في الهيكل المعروف باسم الهيكل الموحد (HS). يهدف هذا التغيير إلى تسهيل تكامل المعايير. على سبيل المثال، تم إضافة المادة 6.3 "التخطيط للتغييرات" مما يبرز ضرورة إدارة التغييرات في ISMS بشكل مخطط.
التغييرات في الضوابط في الملحق A
تم إعادة تنظيم الضوابط في الملحق A لتلبي بشكل أفضل احتياجات أمن المعلومات الحالية:
عدد الضوابط وهيكلها
تم تقليص 114 ضابطًا تم جمعها تحت 14 عنوانًا للضوابط إلى 93 ضابطًا تحت 4 عناوين رئيسية في النسخة الجديدة. هذه العناوين هي:
- الضوابط التنظيمية (A.5)
- الضوابط الشخصية (A.6)
- الضوابط الفيزيائية (A.7)
- الضوابط التقنية (A.8)
11 ضابطًا جديدًا تمت إضافته
تم إضافة الضوابط الجديدة التالية في المعيار المحدث:
- A.5.7 استخبارات التهديدات
- A.5.23 أمن المعلومات لاستخدام خدمات السحابة
- A.5.30 الاستعداد لتكنولوجيا المعلومات لاستمرارية الأعمال
- A.7.4 مراقبة الأمان الفيزيائي
- A.8.9 إدارة التكوين
- A.8.10 حذف المعلومات
- A.8.11 إخفاء البيانات
- A.8.12 منع تسرب البيانات
- A.8.16 أنشطة المراقبة
- A.8.23 تصفية الويب
- A.8.28 الترميز الآمن
عملية الانتقال
بالنسبة للمنظمات الحاصلة على شهادة ISO 27001:2013، يجب أن تكتمل عملية الانتقال إلى النسخة الجديدة بحلول 31 أكتوبر 2025. خلال هذه الفترة، يجب على المنظمات تحديث أنظمتها الحالية لتتوافق مع المعيار الجديد.
يشمل تحديث ISO/IEC 27001:2022 تغييرات هامة تهدف إلى جعل أنظمة إدارة أمن المعلومات أكثر فاعلية ضد التهديدات الحديثة. من الضروري أن تقوم المنظمات بتعزيز عمليات أمن المعلومات الخاصة بها من خلال الامتثال لهذه المتطلبات الجديدة.