التغييرات الأساسية التي أدخلها ISO 27001:2022
يوفر معيار ISO/IEC 27001 إطارًا دوليًا لنظم إدارة أمن المعلومات (ISMS)، ويحدد عمليات حماية أصول المعلومات في المؤسسات. وقد نُشرت النسخة المحدثة ISO/IEC 27001:2022 في 25 أكتوبر 2022، وتتضمن تغييرات هامة تهدف إلى مواكبة التطورات في مجال أمن المعلومات.
التغييرات الهيكلية
تمت مواءمة النسخة الجديدة مع المعايير الأخرى لنظم الإدارة الخاصة بـ ISO، وذلك من خلال اعتماد ما يُعرف بالهيكل المنسق (HS). وتهدف هذه التغييرات إلى تسهيل تكامل المعايير.
نقطة مهمة
تمت إضافة البند 6.3 "تخطيط التغييرات"، وتم التأكيد على ضرورة إدارة التغييرات في نظام إدارة أمن المعلومات بطريقة مخططة.
التغييرات في عناصر التحكم بالمرفق أ
أُعيد تنظيم عناصر التحكم في المرفق "أ" لتلبية احتياجات أمن المعلومات الحديثة بشكل أفضل.
عدد وهيكل عناصر التحكم
تم تقليص عدد عناصر التحكم من 114 عنصرًا موزعة على 14 مجموعة إلى 93 عنصرًا موزعة على 4 فئات رئيسية:
- عناصر التحكم التنظيمي (A.5): تشمل السياسات والأدوار والمسؤوليات.
- عناصر التحكم الشخصية (A.6): تركز على وعي الموظفين وتدريبهم وسلوكهم.
- عناصر التحكم الفيزيائية (A.7): تتعلق بإجراءات الحماية المادية وضوابط الوصول.
- عناصر التحكم التقنية (A.8): تغطي التدابير التقنية لأنظمة المعلومات.
11 عنصر تحكم جديد تمت إضافتها
تتضمن النسخة المحدثة من المعيار العناصر الجديدة التالية:
A.5.7 استخبارات التهديدات
عمليات استخباراتية للتنبؤ بالتهديدات المحتملة.
A.5.23 الأمان في خدمات السحابة
الاستخدام الآمن لخدمات الحوسبة السحابية.
A.5.30 استمرارية أعمال تكنولوجيا المعلومات والاتصالات
تدابير استمرارية خدمات تكنولوجيا المعلومات.
A.7.4 المراقبة الأمنية الفيزيائية
أنظمة المراقبة مثل كاميرات الأمن.
A.8.9 إدارة التكوين
تتبع إعداد مكونات الأنظمة.
A.8.10 حذف المعلومات
طرق الإتلاف الآمن للمعلومات.
A.8.11 إخفاء البيانات
حماية البيانات الحساسة من خلال تقنيات الإخفاء.
A.8.12 منع تسرب البيانات
تقنيات لمنع فقدان البيانات وتسربها.
A.8.16 أنشطة المراقبة
المراقبة المستمرة لأنظمة المعلومات.
A.8.23 تصفية الويب
التحكم الآمن في الوصول إلى الإنترنت.
A.8.28 الترميز الآمن
تدابير الأمان في عمليات تطوير البرمجيات.
فترة الانتقال
يجب على المؤسسات الحاصلة على شهادة ISO 27001:2013 إكمال عملية الانتقال إلى النسخة الجديدة بحلول 31 أكتوبر 2025. وخلال هذه الفترة، ينبغي تحديث نظم إدارة أمن المعلومات القائمة لتتوافق مع المعيار الجديد.
يتضمن تحديث ISO/IEC 27001:2022 تغييرات هامة تهدف إلى جعل نظم إدارة أمن المعلومات أكثر فاعلية في مواجهة التهديدات الحديثة. ويُعد التوافق مع هذه المتطلبات الجديدة أمرًا بالغ الأهمية لتعزيز عمليات أمن المعلومات داخل المؤسسات.