هل تسعى مؤسستك لتطبيق معيار ايزو 27001 والحصول على شهادة امتثال للمعيار؟ أم أن مؤسستك حصلت مسبقاً بالفعل على شهادة في معيار ISO 27001: 2013 وتبحث عن التغييرات بهذا المعيار في إصدار 2022؟
بالنسبة للمؤسسات التي حصلت مسبقاً على شهادة في هذا المعيار فقد يؤرقها خبر إصدار تحديث جديد له هذا العام والذي لم يتم نشره بعد. فربما تدور في ذهنك الآن العديد من التساؤلات عن تأثير هذه التغييرات بالنسبة لمؤسستك التي حصلت على شهادة الامتثال مسبقاً، وفيما لو ستحتاج مؤسستك لإجراء تغييرات على عملياتها الداخلية، لذا سأعمل في هذا المقال على إجابتك عن كل الأسئلة المحتملة حول التحديث الجديد لمعيار الآيزو 27001 وسأنقل لك أبرز ما يتضمنه هذا التحديث، ولأني لا أرغب أن تتابع القراءة بقلق، سأترك لك خبرا ساراً هنا، فالتغييرات الجديدة التي تم إجراؤها على المعيار هي تعديلات على الهيكل والتخطيط ، وستبقى غالبية عناصر التحكم كما تعرفها مسبقاً.
نظرة عامة على معيار ايزو 27001 وتحديثاته
يعتبر معيار ISO/IEC 27001 المعيار الدولي الذي يوضح كيفية وضع نظام إدارة أمن المعلومات بشكل معتمد وتطبيقه والحفاظ عليه وتحسينه باستمرار، ضمن أطر عملية مما يسمح بالحفاظ على البيانات الحساسة والسرية بشكل آمن والتقليل من احتمال الوصول إليها بشكلٍ غير قانوني أو بدون إذن كما يسمح بإدارة المخاطر الأمنية واسترداد المعلومات وتقليل الخروقات الأمنية.
تم نشر هذا المعيار لأول مرة في عام 2005، وتم تحديثه عدة مرات على مر السنين، وفي عام 2022، سيتم تحديثه مجدداً والتوقعات تشير إلى أن نشره سيكون في أكتوبر 2022، على الرغم من عدم الإعلان عن تاريخ محدد حتى اللحظة، وسيترافق هذا التحديث مع بعض التغييرات المهمة.
ما هي فوائد معيار ايزو 27001؟
يقدم تطبيق هذا المعيار والامتثال له الكثير من الفوائد على مؤسستك، إليك أبرز خمس فوائد لمعيار الآيزو 27001:
- تحسين الوضع الأمني في مؤسستك: إن حصول مؤسستك على شهادة ISO 27001 سيمنحها مظهراً جذاباً لكل المهتمين بأمن المعلومات، فتظهر مؤسستك بأنها تأخذ أمن المعلومات على محمل الجد وتبذل جهدها في تنفيذ أفضل الممارسات لحماية بياناتها الحساسة، وبالطبع فإن هذا المعيار سيساهم في تقليل مخاطر خرق البيانات الشائع جداً في يومنا هذا، وبالتالي تحسين سمعة مؤسستك.
- تحسين كفاءة الأعمال: تساعدك شهادة ISO 27001 على تحسين العمليات التجارية لمؤسستك من خلال تحديد مخاطر أمن المعلومات ومعالجتها، ما يؤدي إلى تحسين الإنتاجية وتقليل التكاليف.
- انخفاض نفقات تقنية المعلومات: إن تطبيق مؤسستك لمعيارISO 27001 سيساهم في تحسين أمان البيانات وتقليل احتمالات انتهاكات البيانات ما يؤدي لتقليل نفقات تقنية المعلومات الخاصة بالمؤسسة.
- الامتثال لقوانين حماية البيانات: حصول مؤسستك على شهادة في ISO 27001، يعني امتثالها لقوانين ولوائح حماية البيانات في البلدان التي يُقبل فيها المعيار، وبالتالي تجنب مخاطر الغرامات والعقوبات الخاصة بعدم الامتثال.
- زيادة القدرة التنافسية: شهادة ISO 27001 ستمنح مؤسستك ميزة تنافسية حيث أنها تثبت بأن المؤسسة تلتزم وتطبق أعلى معايير أمن المعلومات.
أبرز 5 تغييرات على ISO 27001 في عام 2022
لا بد أن نذكر أولاً بأن الجزء الرئيسي من ISO 27001 ، أي البنود من 4 إلى 10 ، لم تتغير، أما الآن سنشرح في هذا القسم أهم التغييرات التي ستترافق مع التحديث الجديد لمعيار الآيزو 27001 في هذا العام، وهي كالآتي:
أولاً: تغيير اسم المعيار
من المؤكد أن أول تغيير ستلاحظه هو إعادة تسمية المعيار من ISO 27001: 2013 إلى ISO 27001: 2022 .
ثانياً: تغييرات عناصر التحكم
- دمج عناصر التحكم: سيتم في 27001:2022 ISO تحديث الضوابط الأمنية المدرجة في الملحق A. في السابق كان يحتوي معيار ISO 27001: 2013 على 114 عنصر تحكم، أما التحديث الجديد ISO 27001: 2022 سيحوي فقط على 93 عنصر تحكم، حيث تم حذف بعض هذه العناصر أو تم دمجها مع عناصر تحكم أخرى، على سبيل المثال: أصبحت عناصر التحكم الثلاثة المتعلقة بالتسجيل 12.4.1 و A.12.4.2 و A.12.4.3الآن عنصر تحكم واحد.
- إدخال عناصر تحكم جديدة: تم إدخال 11 عنصر تحكم جديد بينما لم يتم حذف أي من عناصر التحكم، تتضمن عناصر التحكم الـ 11 الجديدة ما يلي:
- مراقبة الأمن المادي Physical security monitoring
- استخبارات التهديد Threat intelligence
- إدارة التكوين Configuration management
- حذف المعلومات Information deletion
- إخفاء البياناتData masking
- منع تسرب البيانات Data leakage prevention
- أنشطة المراقبةMonitoring activities
- أمن المعلومات لاستخدام الخدمات السحابية Information security for use of cloud services
- تصفية الويب Web filtering
- تشفير آمن Secure coding
- جاهزية تقنية المعلومات والاتصالات لاستمرارية الأعمالICT readiness for business continuity
- شكل وأسلوب المعيار: هناك تغيير ملحوظ آخر في شكل وأسلوب المعيار وهو إدخال علامات التجزئة (#) بجوار عناصر التحكم
- إدارة الأصول: كان معيار الآيزو 27001 لعام 2013 يلزمك بالاحتفاظ بجرد للأصول التي لها صلة بأمن المعلومات، والجديد أنه في تحديث 2022، يجب اعتبار المعلومات كأصل.
- أقسام عناصر التحكم: تم في التحديث الجديد تجميع عناصر التحكم في 4 مجالات رئيسية (بدلاً من المجالات الأربعة عشر السابقة) وتم تمييزها لتسهيل الرجوع إليها واستخدامها، والمجالات هي:
- التنظيمية
- الأفراد
- المادية
- التقنية
ثالثاً: تركيز أكبر على المخاطر الإلكترونية
مع تزايد المخاطر السيبرانية وتهديدها لأمن المؤسسات والأفراد، تتزايد الحاجة لتعزيز أمن البيانات والشبكات والأنظمة المختلفة في المؤسسات، وهذا ما يؤكده التحديث الجديد للمعيار ISO 27001: 2022 ،حيث ستلقى المخاطر السيبرانية الآن اهتماماً أكبر وسيطلب من المؤسسات اتخاذ خطوات أكثر لحماية شبكاتها وأنظمتها من الهجمات الإلكترونية.
رابعاً: تحديث البند 6.1.3 d
تم تحسين الصياغات في هذه الفقرة لتوفير الوضوح والقضاء على الغموض الذي كان سائداً بها في معيار ISO 27001: 2013.
خامساً: إزالة بعض المصطلحات أو استبدالها
تمت إزالة المصطلحين (” قانون الممارسات Code of Practice) ” و ” (أهداف التحكم control objectives)”.
كيفية الانتقال إلى ISO 27001: 2022
بعد أن تعرفت على معيار الآيزو 27001 واهميته والتحديث الجديد له، فقد يكون السؤال الأول الذي يراودك هو كيفية تطبيق هذا المعيار في مؤسستك. بحال كانت لديك الرغبة بالحصول على شهادة في ISO 27001: 2013، أو أنك تحتاج إلى مساعدة في الانتقال إلى ISO 27001: 2022 والذي سيتم نشره بوقت قريب، فليس عليك إلا الاتصال بجهة خبيرة في معايير الجودة الآيزو لضمان نجاحك وهو الحل الأمثل لمؤسستك.
إن شركة ريناد المجد لتقنية المعلومات RMG والحاصلة على شهادة ISO 27001 يمكنها مساعدتك، سنضع بين يديك خبرة فريقنا المكون من نخبة من المستشارين المعتمدين كمدققين ل ISO 27001. اصنع قصة نجاحك معنا وفَعِّل محرك النضج الأمني لمؤسستك بامتثالك لمعيار الآيزو 27001 ، اتصل بنا الآن مباشرة من هنا.
الأسئلة الشائعة حول تحديث الآيزو 27001 لعام 2022
كما ذكرنا ضمن المقال فلم يتم نشر ISO 27001: 2022 بعد إلا أنه سيتم نشره أواخر هذا العام غالباً، خلال هذا الوقت ننصح المؤسسات الراغبة بالامتثال للمعيار باستخدام المعيار الحالي والضوابط الموجودة بداخله، فالتغييرات التي ستطرأ على التحديث الجديد ستكون ضئيلة كما أسلفنا، وبالتالي سيكون لديك وقت كاف قرابة السنتين منذ إصدار التحديث الجديد ISO 27001:2022 للانتقال إلى المعيار الجديد وكذلك تحديث الوثائق لعناصر التحكم الجديدة.
إن هذا القرار يعتمد بشكل كامل على مدى حاجتك للحصول على الشهادة، فبحال كان هناك عميل حالي أو محتمل ينتظر حصولك على اعتماد في ISO 27001 قبل عقد شراكة او عمل معك ، فمن الأفضل أن تبدأ تطبيق ISO 27001لأنه لا يزال يتعين عليك التوافق مع بنود ISO 27001: 2013، أما بحال كان الحصول على الشهادة ليس أولوية الآن لمؤسستك ، فننصحك أن تبدأ في عملية الامتثال للمعيار من خلال تنفيذ الضوابط التي تشير إلى وجود فجوات في عملك وعندما يتم نشر النحديث الجديد، يمكنك المباشرة في متطلبات الشهادة.
ليس عليك القلق تجاه الوقت، سيكون لديك متسع من الوقت للانتقال للإصدار الجديد فعادة يتم منح المؤسسات فترة انتقالية تبلغ قرابة السنتين لتقوم بتحديث ISMS الخاص بها باستخدام عناصر التحكم الجديدة ، وتحديث العمليات، وتدريب الموظفين وإنشاء السجلات اللازمة وما إلى ذلك للتكيف مع الإصدار الجديد من المعيار.
بحال كانت شركتك معتمدة وقد حصلت مسبقاً على شهادة ISO 27001:2013، فسيقوم المدقق المعتمد بالتحقق مما إذا كنت قد قمت بتكييف وثائقك مع الإصدار الجديد لعام 2022 خلال الفترة الانتقالية، و لن يكون هنالك حاجة لجدولة أي عمليات تدقيق جديدة لأنها ستتم أثناء عمليات تدقيق المراقبة المنتظمة.
التغييرات التي ستطرأ على المعيار ستكون ضئيلة ولن تتضمن أي تغييرات في التقنية، حيث ستكون التغييرات مقتصرة على الوثائق، ونحن نوصي بعدم إضافة أي وثائق جديدة حالياً أو حذف أي وثائق موجودة مسبقاً.
بعض التغييرات المتوقعة على الوثائق في إصدار 2022 هي:
- مواءمة عملية معالجة المخاطر مع الضوابط الجديدة.
- تحديث بيان التطبيق الخاص بك SOA .
- تكييف أقسام معينة في سياساتك وإجراءاتك الحالية.