11 عنصر تحكم جديد في آيزو 27001 لسنة 2022
التوثيق. لا توجد وثائق مطلوبة من قبل ISO 27001 ؛ ومع ذلك ، إذا كنت شركة أصغر ، فقد تقوم بتضمين قواعد حول المراقبة في إجراءات تشغيل الأمان. قد تضع الشركات الأكبر حجمًا إجراءً منفصلاً يصف كيفية مراقبة أنظمتها.
إذا كنت ممارسًا أمنيًا تتعامل مع ISO 27001 ، فربما تتساءل عن الأشياء الجديدة التي ستحتاج إلى تنفيذها كجزء من التغييرات التي تم إجراؤها على هذا المعيار في عام 2022.
في هذه المقالة ، سأركز على 11 عنصر تحكم جديد تم تقديمه في ISO 27001.
11 عنصر تحكم جديد تم تقديمه في مراجعة ISO 27001 2022:
A.5.7 معلومات التهديد
A.5.23 أمن المعلومات لاستخدام الخدمات السحابية
A.5.30 استعداد تكنولوجيا المعلومات والاتصالات لاستمرارية الأعمال
A.7.4 مراقبة الأمن المادي
A.8.9 إدارة التكوين
A.8.10 حذف المعلومات
A.8.11 إخفاء البيانات
A.8.12 منع تسرب البيانات
A.8.16 أنشطة المراقبة
A.8.23 تصفية الويب
A.8.28 التشفير الآمن
ما ستلاحظه هو أن بعض عناصر التحكم الجديدة هذه تشبه إلى حد كبير عناصر التحكم القديمة من إصدار 2013 ؛ ومع ذلك ، نظرًا لتصنيف عناصر التحكم هذه على أنها جديدة في ISO 27002: 2022 ، فقد أدرجت كل 11 في هذه المقالة.
بصفتي المصدر الرئيسي لهذه المقالة ، فقد استخدمت إرشادات من ISO 27002: 2022 - لقد قدمت نظرة عامة على المتطلبات والتكنولوجيا والأشخاص والوثائق ، ولكن إذا كنت ترغب في التعرف على عناصر التحكم هذه بمزيد من التعمق ، أنا أشجعك على شراء معيار ISO 27002 من موقع ISO على الويب. كما تعلم ، لكي تصبح متوافقًا مع ISO 27001 ، ليس من الضروري اتباع الإرشادات من ISO 27002 ، مما يعني أن الاقتراحات الواردة في هذه المقالة اختيارية.
أخيرًا ، ضع في اعتبارك أن هذه الضوابط ليست إلزامية - يسمح لك ISO 27001 باستبعاد عنصر تحكم إذا (1) لم تحدد أي مخاطر ذات صلة ، و (2) لا توجد متطلبات قانونية / تنظيمية / تعاقدية لتنفيذ هذا التحكم المحدد.
لذا ، دعونا نراجع 11 عنصر تحكم بمزيد من التفصيل ...
A.5.7 معلومات التهديد
الوصف. يتطلب منك عنصر التحكم هذا جمع معلومات حول التهديدات وتحليلها من أجل اتخاذ إجراءات التخفيف المناسبة. قد تكون هذه المعلومات حول هجمات معينة ، حول الأساليب والتقنيات التي يستخدمها المهاجمون ، و / أو اتجاهات الهجوم. يجب عليك جمع هذه المعلومات داخليًا ، وكذلك من مصادر خارجية مثل تقارير البائعين وإعلانات الوكالات الحكومية وما إلى ذلك.
تكنولوجيا. ربما لا تحتاج الشركات الصغيرة إلى أي تقنية جديدة تتعلق بهذه السيطرة ؛ بدلاً من ذلك ، سيتعين عليهم معرفة كيفية استخراج معلومات التهديد من أنظمتهم الحالية. إذا لم يكن لديهم واحد بالفعل ، فستحتاج الشركات الأكبر إلى الحصول على نظام ينبههم إلى التهديدات الجديدة (بالإضافة إلى نقاط الضعف والحوادث). سيتعين على الشركات من أي حجم استخدام معلومات التهديد لتقوية أنظمتها.
التنظيم / العمليات. يجب عليك تعيين العمليات الخاصة بكيفية جمع معلومات التهديد واستخدامها لإدخال ضوابط وقائية في أنظمة تكنولوجيا المعلومات لديك ، لتحسين تقييم المخاطر ، وإدخال طرق جديدة لاختبار الأمان.
الناس. اجعل الموظفين على دراية بأهمية إرسال إشعارات التهديد ، وقم بتدريبهم على كيفية إبلاغ هذه التهديدات ولمن.
التوثيق. لا توجد وثائق مطلوبة من قبل ISO 27001 ؛ ومع ذلك ، يمكنك تضمين قواعد حول معلومات التهديد في المستندات التالية:
سياسة أمان المورد - حدد كيفية توصيل المعلومات المتعلقة بالتهديدات بين الشركة ومورديها وشركائها.
إجراءات إدارة الحوادث - حدد كيفية توصيل المعلومات المتعلقة بالتهديدات داخليًا في الشركة.
إجراءات تشغيل الأمان - حدد كيفية جمع المعلومات حول التهديدات ومعالجتها.
A.5.23 أمن المعلومات لاستخدام الخدمات السحابية
الوصف. يتطلب منك هذا التحكم تعيين متطلبات الأمان للخدمات السحابية من أجل الحصول على حماية أفضل لمعلوماتك في السحابة. يتضمن ذلك شراء الخدمات السحابية واستخدامها وإدارتها وإنهاء استخدامها.
تكنولوجيا. في معظم الحالات ، لن تكون هناك حاجة إلى تقنية جديدة ، لأن غالبية الخدمات السحابية لديها بالفعل ميزات أمان. في بعض الحالات ، قد تحتاج إلى ترقية خدمتك إلى خدمة أكثر أمانًا ، بينما ستحتاج في بعض الحالات النادرة إلى تغيير موفر السحابة إذا لم يكن به ميزات أمان. بالنسبة للجزء الأكبر ، سيكون التغيير الوحيد المطلوب هو استخدام ميزات أمان السحابة الحالية بطريقة أكثر شمولاً.
التنظيم / العمليات. يجب عليك إعداد عملية لتحديد متطلبات الأمان للخدمات السحابية ولتحديد معايير اختيار موفر السحابة ؛ علاوة على ذلك ، يجب عليك تحديد عملية لتحديد الاستخدام المقبول للسحابة ، وكذلك متطلبات الأمان عند إلغاء استخدام خدمة السحابة.
الناس. اجعل الموظفين على دراية بالمخاطر الأمنية لاستخدام الخدمات السحابية ، وقم بتدريبهم على كيفية استخدام ميزات الأمان للخدمات السحابية.
التوثيق. لا توجد وثائق مطلوبة من قبل ISO 27001 ؛ ومع ذلك ، إذا كنت شركة أصغر ، فقد تقوم بتضمين قواعد حول الخدمات السحابية في سياسة أمان المورد. قد تقوم الشركات الأكبر حجمًا بتطوير سياسة منفصلة تركز بشكل خاص على أمان الخدمات السحابية.
A.5.30 استعداد تكنولوجيا المعلومات والاتصالات لاستمرارية الأعمال
الوصف. يتطلب هذا التحكم أن تكون تقنية المعلومات والاتصالات الخاصة بك جاهزة للاضطرابات المحتملة بحيث تتوفر المعلومات والأصول المطلوبة عند الحاجة. وهذا يشمل تخطيط الجاهزية والتنفيذ والصيانة والاختبار.
تكنولوجيا. إذا لم تستثمر في الحلول التي تتيح المرونة والتكرار لأنظمتك ، فقد تحتاج إلى تقديم مثل هذه التكنولوجيا - قد يتراوح هذا من النسخ الاحتياطي للبيانات إلى روابط الاتصال الزائدة عن الحاجة. يجب التخطيط لهذه الحلول بناءً على تقييمك للمخاطر ومدى سرعة استرداد بياناتك وأنظمتك.
التنظيم / العمليات. إلى جانب عملية التخطيط ، التي يجب أن تأخذ في الاعتبار المخاطر واحتياجات العمل للتعافي ، يجب عليك أيضًا إعداد عملية الصيانة لتقنيتك وعملية الاختبار لاستعادة القدرة على العمل بعد الكوارث و / أو خطط استمرارية العمل.
الناس. اجعل الموظفين على دراية بالاضطرابات المحتملة التي يمكن أن تحدث ، وقم بتدريبهم على كيفية الحفاظ على تكنولوجيا المعلومات وتكنولوجيا الاتصالات بحيث تكون جاهزة للاضطراب.
التوثيق. لا توجد وثائق مطلوبة من قبل ISO 27001 ؛ ومع ذلك ، إذا كنت شركة أصغر ، فيمكنك تضمين جاهزية تكنولوجيا المعلومات والاتصالات في المستندات التالية:
خطة التعافي من الكوارث - تخطيط الجاهزية والتنفيذ والصيانة
تقرير التدقيق الداخلي - اختبار الجاهزية
إذا كنت تمثل مؤسسة أكبر ، أو إذا قمت بتطبيق ISO 22301 ، فيجب عليك توثيق الجاهزية من خلال تحليل تأثير الأعمال ، واستراتيجية استمرارية الأعمال ، وخطة استمرارية الأعمال ، وخطة وتقرير اختبار استمرارية الأعمال.
A.7.4 مراقبة الأمن المادي
الوصف. يتطلب منك هذا التحكم مراقبة المناطق الحساسة لتمكين الأشخاص المصرح لهم فقط من الوصول إليها. قد يشمل ذلك مكاتبك ومرافق الإنتاج والمستودعات والمباني الأخرى الخاصة بك.
تكنولوجيا. اعتمادًا على مخاطرك ، قد تحتاج إلى تنفيذ أنظمة إنذار أو مراقبة بالفيديو ؛ قد تقرر أيضًا تنفيذ حل غير تقني مثل شخص يراقب المنطقة (على سبيل المثال ، حارس).
التنظيم / العمليات. يجب عليك تحديد المسؤول عن مراقبة المناطق الحساسة ، وما هي قنوات الاتصال التي يجب استخدامها للإبلاغ عن حادث.
الناس. توعية الموظفين بمخاطر الدخول المادي غير المصرح به إلى المناطق الحساسة ، وتدريبهم على كيفية استخدام تقنية المراقبة.
التوثيق. لا توجد وثائق مطلوبة من قبل ISO 27001 ؛ ومع ذلك ، يمكنك تضمين مراقبة الأمان المادي في المستندات التالية:
الإجراءات التي تنظم الأمن المادي - ما الذي يتم مراقبته ومن المسؤول عن المراقبة
إجراءات إدارة الحوادث - كيفية الإبلاغ عن حادثة الأمن المادي والتعامل معها
A.8.9 إدارة الإعدادات
الوصف. يتطلب منك هذا التحكم إدارة الدورة الكاملة لتكوين الأمان لتقنيتك لضمان مستوى مناسب من الأمان ولتجنب أي تغييرات غير مصرح بها. يتضمن هذا تعريف التكوين والتنفيذ والمراقبة والمراجعة.
تكنولوجيا. يمكن أن تتضمن التقنية التي يحتاج تكوينها إلى الإدارة برامج أو أجهزة أو خدمات أو شبكات. من المحتمل أن تكون الشركات الصغيرة قادرة على التعامل مع إدارة التكوين دون أي أدوات إضافية ، في حين أن الشركات الكبيرة ربما تحتاج إلى بعض البرامج التي تفرض تكوينات محددة.
التنظيم / العمليات. يجب عليك إعداد عملية لاقتراح تكوينات الأمان ومراجعتها والموافقة عليها ، بالإضافة إلى عمليات إدارة التكوينات ومراقبتها.
الناس. اجعل الموظفين على دراية بأسباب الحاجة إلى رقابة صارمة على تكوين الأمان ، وقم بتدريبهم على كيفية تحديد وتنفيذ تكوينات الأمان.
التوثيق. يتطلب ISO 27001 توثيق هذا التحكم. إذا كنت تمثل شركة صغيرة ، فيمكنك توثيق قواعد التكوين في إجراءات تشغيل الأمان الخاصة بك. عادةً ما يكون لدى الشركات الأكبر حجمًا إجراء منفصل يحدد عملية التكوين.
عادةً ما يكون لديك مواصفات منفصلة تحدد تكوينات الأمان لكل نظام من أنظمتك ، وذلك لتجنب التحديثات المتكررة للمستندات المذكورة في الفقرة السابقة. علاوة على ذلك ، يجب تسجيل جميع التغييرات على التكوينات لتمكين مسار التدقيق.
A.8.10 حذف المعلومات
الوصف. يتطلب منك عنصر التحكم هذا حذف البيانات عند عدم الحاجة إليها ، وذلك لتجنب تسرب المعلومات الحساسة ولتمكين الامتثال لمتطلبات الخصوصية والمتطلبات الأخرى. قد يشمل ذلك الحذف في أنظمة تكنولوجيا المعلومات الخاصة بك أو الوسائط القابلة للإزالة أو الخدمات السحابية.
تكنولوجيا. يجب أن تستخدم أدوات للحذف الآمن ، وفقًا للمتطلبات التنظيمية أو التعاقدية ، أو بما يتماشى مع تقييم المخاطر الخاص بك.
التنظيم / العمليات. يجب عليك إعداد عملية تحدد البيانات التي يجب حذفها ومتى ، وتحديد المسؤوليات وطرق الحذف.
الناس. اجعل الموظفين يدركون سبب أهمية حذف المعلومات الحساسة ، وقم بتدريبهم على كيفية القيام بذلك بشكل صحيح.
التوثيق. لا توجد وثائق مطلوبة من قبل ISO 27001 ؛ ومع ذلك ، يمكنك تضمين قواعد حول حذف المعلومات في المستندات التالية:
نهج التخلص والتدمير - كيفية حذف المعلومات الموجودة على الوسائط القابلة للإزالة
سياسة الاستخدام المقبول - كيف يحتاج المستخدمون العاديون إلى حذف المعلومات الحساسة الموجودة على أجهزة الكمبيوتر والأجهزة المحمولة الخاصة بهم
إجراءات تشغيل الأمان - كيف يحتاج مسؤولو النظام إلى حذف المعلومات الحساسة الموجودة على الخوادم والشبكات
قد يكون لدى المؤسسات الأكبر حجمًا أيضًا سياسة الاحتفاظ بالبيانات التي تحدد المدة المطلوبة لكل نوع من المعلومات ، ومتى يلزم حذفها.
A.8.11 إخفاء البيانات
الوصف. يتطلب عنصر التحكم هذا استخدام إخفاء البيانات مع التحكم في الوصول للحد من تعرض المعلومات الحساسة. يعني هذا في المقام الأول البيانات الشخصية ، لأنها منظمة بشكل كبير من خلال لوائح الخصوصية ، ولكن يمكن أن تشمل أيضًا فئات أخرى من البيانات الحساسة.
تكنولوجيا. يمكن للشركات استخدام أدوات لإخفاء الهوية أو إخفاء الهوية من أجل إخفاء البيانات إذا كان ذلك مطلوبًا بموجب قوانين الخصوصية أو اللوائح الأخرى. يمكن أيضًا استخدام طرق أخرى مثل التشفير أو التشويش.
التنظيم / العمليات. يجب عليك إعداد العمليات التي ستحدد البيانات التي يجب إخفاءها ، ومن يمكنه الوصول إلى نوع البيانات ، والطرق التي سيتم استخدامها لإخفاء البيانات.
الناس. اجعل الموظفين يدركون سبب أهمية إخفاء البيانات ، وقم بتدريبهم على البيانات التي يجب إخفاءها وكيف.
التوثيق. لا توجد وثائق مطلوبة من قبل ISO 27001 ؛ ومع ذلك ، يمكنك تضمين قواعد بشأن إخفاء البيانات في المستندات التالية:
سياسة تصنيف المعلومات - تحديد البيانات الحساسة وفئات البيانات التي يجب إخفاءها
نهج التحكم في الوصول - يحدد من يمكنه الوصول إلى نوع البيانات المقنعة أو غير المقنعة
سياسة التنمية الآمنة - تحدد تقنية إخفاء البيانات
يجب أن يكون لدى الشركات الكبيرة ، أو الشركات التي يجب أن تكون متوافقة مع لائحة حماية البيانات العامة للاتحاد الأوروبي (EU GDPR) ولوائح الخصوصية المماثلة ، المستندات التالية:
سياسة الخصوصية / سياسة حماية البيانات الشخصية - المسؤوليات العامة لإخفاء البيانات
سياسة إخفاء الهوية والتسمية المستعارة - تفاصيل حول كيفية تنفيذ إخفاء البيانات في سياق لائحة الخصوصية
A.8.12 منع تسرب البيانات
الوصف. يتطلب هذا التحكم تطبيق تدابير مختلفة لتسرب البيانات لتجنب الكشف غير المصرح به عن المعلومات الحساسة ، وفي حالة حدوث مثل هذه الحوادث ، لاكتشافها في الوقت المناسب. يتضمن ذلك المعلومات الموجودة في أنظمة تكنولوجيا المعلومات أو الشبكات أو أي أجهزة.
تكنولوجيا. لهذا الغرض ، يمكنك استخدام أنظمة لمراقبة قنوات التسرب المحتملة ، بما في ذلك رسائل البريد الإلكتروني ، وأجهزة التخزين القابلة للإزالة ، والأجهزة المحمولة ، وما إلى ذلك ، والأنظمة التي تمنع تسريب المعلومات - على سبيل المثال ، تعطيل التنزيل إلى وحدة التخزين القابلة للإزالة ، وعزل البريد الإلكتروني ، وتقييد النسخ واللصق من البيانات ، وتقييد تحميل البيانات إلى أنظمة خارجية ، والتشفير ، وما إلى ذلك.
التنظيم / العمليات. يجب عليك إعداد العمليات التي تحدد حساسية البيانات ، وتقييم مخاطر التقنيات المختلفة (على سبيل المثال ، مخاطر التقاط صور للمعلومات الحساسة باستخدام هاتف ذكي) ، ومراقبة القنوات مع احتمال تسرب البيانات ، وتحديد التكنولوجيا التي يجب استخدامها للحظر الكشف عن البيانات الحساسة.
الناس. اجعل الموظفين على دراية بنوع البيانات الحساسة التي يتم التعامل معها في الشركة ولماذا من المهم منع التسرب ، وتدريبهم على ما هو مسموح به وما هو غير مسموح به عند التعامل مع البيانات الحساسة.
التوثيق. لا توجد وثائق مطلوبة من قبل ISO 27001 ؛ ومع ذلك ، يمكنك تضمين قواعد بشأن منع تسرب البيانات في المستندات التالية:
سياسة تصنيف المعلومات - كلما كانت البيانات أكثر حساسية ، زادت الحاجة إلى تطبيق الوقاية
إجراءات تشغيل الأمان - ما هي أنظمة المراقبة والوقاية التي يجب أن يستخدمها المسؤولون
سياسة الاستخدام المقبول - ما هو وما هو غير مسموح به للمستخدمين العاديين
A.8.16 أنشطة المراقبة
الوصف. يتطلب منك هذا التحكم مراقبة أنظمتك من أجل التعرف على الأنشطة غير العادية ، وإذا لزم الأمر ، لتفعيل الاستجابة المناسبة للحادث. يتضمن ذلك مراقبة أنظمة تكنولوجيا المعلومات والشبكات والتطبيقات الخاصة بك.
تكنولوجيا. بالنسبة لشبكاتك وأنظمتك وتطبيقاتك ، يمكنك مراقبة ما يلي: سجلات أدوات الأمان ، وسجلات الأحداث ، ومن يقوم بالوصول إلى ماذا ، وأنشطة المسؤولين الرئيسيين لديك ، وحركة المرور الواردة والصادرة ، والتنفيذ الصحيح للرمز ، وكيفية إدارة موارد النظام أداء.
التنظيم / العمليات. يجب عليك إعداد عملية تحدد الأنظمة التي سيتم مراقبتها ؛ كيف يتم تحديد مسؤوليات المراقبة ؛ وطرق المراقبة ، وإنشاء خط أساس للأنشطة غير العادية ، والإبلاغ عن الأحداث والحوادث.
الناس. اجعل الموظفين على دراية بأن أنشطتهم ستخضع للمراقبة ، واشرح لهم ما هو وما لا يعتبر سلوكًا طبيعيًا. تدريب مسؤولي تكنولوجيا المعلومات على استخدام أدوات المراقبة.
التوثيق. لا توجد وثائق مطلوبة من قبل ISO 27001 ؛ ومع ذلك ، إذا كنت شركة أصغر ، فقد تقوم بتضمين قواعد حول المراقبة في إجراءات تشغيل الأمان. قد تضع الشركات الأكبر حجمًا إجراءً منفصلاً يصف كيفية مراقبة أنظمتها.
علاوة على ذلك ، سيكون من المفيد الاحتفاظ بسجلات لأنشطة المراقبة.
A.8.23 تصفية الويب
الوصف. يتطلب منك هذا التحكم إدارة مواقع الويب التي يصل إليها المستخدمون ، من أجل حماية أنظمة تكنولوجيا المعلومات الخاصة بك. بهذه الطريقة ، يمكنك منع اختراق أنظمتك بواسطة التعليمات البرمجية الضارة ، وكذلك منع المستخدمين من استخدام مواد غير قانونية من الإنترنت.
تكنولوجيا. يمكنك استخدام الأدوات التي تمنع الوصول إلى عناوين IP معينة ، والتي قد تتضمن استخدام برامج مكافحة البرامج الضارة. يمكنك أيضًا استخدام أساليب غير تقنية مثل تطوير قائمة بالمواقع المحظورة ومطالبة المستخدمين بعدم زيارتها.
التنظيم / العمليات. يجب عليك إعداد العمليات التي تحدد أنواع مواقع الويب غير المسموح بها ، وكيفية الحفاظ على أدوات تصفية الويب.
الناس. اجعل الموظفين على دراية بمخاطر استخدام الإنترنت ومكان العثور على إرشادات للاستخدام الآمن ، وقم بتدريب مسؤولي النظام على كيفية إجراء تصفية الويب.
التوثيق. لا توجد وثائق مطلوبة من قبل ISO 27001 ؛ ومع ذلك ، إذا كنت شركة أصغر ، يمكنك تضمين قواعد حول تصفية الويب في المستندات التالية:
إجراءات تشغيل الأمان - تحديد قواعد لمسؤولي النظام حول كيفية تنفيذ تصفية الويب.
نهج الاستخدام المقبول - تحديد القواعد لجميع المستخدمين بشأن الاستخدام المقبول للإنترنت.
قد تقوم الشركات الأكبر حجمًا بتطوير إجراء منفصل يصف كيفية إجراء تصفية الويب.
A.8.28 التشفير الآمن
الوصف. يتطلب منك هذا التحكم إنشاء مبادئ تشفير آمنة وتطبيقها على تطوير برامجك لتقليل الثغرات الأمنية في البرنامج. يمكن أن يشمل ذلك الأنشطة قبل وأثناء وبعد الترميز.
تكنولوجيا. قد تستخدم أدوات للاحتفاظ بقائمة جرد للمكتبات ، ولحماية الكود المصدري من العبث ، ولأخطاء التسجيل والهجمات ، وللاختبار ؛ يمكنك أيضًا استخدام مكونات الأمان مثل المصادقة والتشفير وما إلى ذلك.
التنظيم / العمليات. يجب عليك إعداد عملية لتحديد الحد الأدنى من خط الأساس للتشفير الآمن - سواء لتطوير البرامج الداخلية أو لمكونات البرامج من جهات خارجية ، وهي عملية لمراقبة التهديدات الناشئة وتقديم المشورة بشأن التشفير الآمن ، وهي عملية لتحديد الأدوات والمكتبات الخارجية التي يمكنها تستخدم ، وهي عملية تحدد الأنشطة التي تم إجراؤها قبل الترميز وأثناء التشفير وبعد الترميز (المراجعة والصيانة) وتعديل البرامج.
الناس. اجعل مطوري البرامج لديك على دراية بأهمية استخدام مبادئ الترميز الآمن ، وقم بتدريبهم على أساليب وأدوات التشفير الآمن.
التوثيق. لا توجد وثائق مطلوبة من قبل ISO 27001 ؛ ومع ذلك ، إذا كنت شركة أصغر ، فقد تقوم بتضمين قواعد حول الترميز الآمن في سياسة التطوير الآمن. قد تقوم الشركات الأكبر حجمًا بتطوير إجراءات منفصلة للترميز الآمن لكل مشروع من مشاريع تطوير البرامج الخاصة بها.