حول المعايير القطاعات المدونة ✦ ذكاء طلب ←
الرئيسية  /  المدونة  /  شهادة ISO 27001:2022

شهادة ISO 27001:2022 — دليل شامل للمنظمات

فترة الانتقال إلى ISO/IEC 27001:2022 دخلت مرحلتها الأخيرة. يجب على المنظمات الحاصلة على شهادة الإصدار 2013 اتخاذ إجراءات فورية لتحديث أنظمة إدارة أمن المعلومات والحفاظ على شهادتها. يغطي هذا الدليل كل تغيير جوهري وهيكل ملحق A الجديد وخارطة طريق عملية للانتقال.

ISO 27001 ISMS انتقال

 ·  8 دقائق قراءة

لماذا تُعدّ مراجعة 2022 مهمة

حلّ معيار ISO/IEC 27001:2022 محل إصدار 2013 في أكتوبر 2022. وقد حدد منتدى الاعتماد الدولي (IAF) فترة انتقالية مدتها ثلاث سنوات، مما يعني أن جميع شهادات ISO 27001:2013 القائمة يجب أن تنتقل إلى إصدار 2022 بحلول 31 أكتوبر 2025. وبعد هذا التاريخ، تُعتبر أي شهادة لا تزال تشير إلى معيار 2013 غير صالحة.

هذا ليس تحديثًا إداريًا بسيطًا. فبينما تلقت بنود نظام الإدارة الأساسية (4 إلى 10) تغييرات متواضعة نسبيًا، خضع ملحق A لإعادة هيكلة كاملة. تم تجميع الضوابط السابقة البالغ عددها 114 ضابطًا عبر 14 مجالًا في 93 ضابطًا عبر أربعة محاور فقط. كما تم إدخال أحد عشر ضابطًا جديدًا بالكامل تعكس المشهد المتطور للتهديدات حول الحوسبة السحابية واستخبارات التهديدات وإخفاء البيانات ودورات حياة التطوير الآمنة.

التغييرات الرئيسية في بنود نظام الإدارة

تتوافق متطلبات نظام الإدارة في البنود 4 إلى 10 مع الهيكل المنسّق (HS) المستخدم في جميع معايير أنظمة الإدارة ISO. يُقدم إصدار 2022 عدة تغييرات مستهدفة:

  • البند 4.2 — الأطراف المعنية: يجب على المنظمات الآن تحديد المتطلبات التي سيتم معالجتها من خلال نظام إدارة أمن المعلومات بشكل صريح. وهذا يتطلب تحليلًا موثقًا وليس مجرد قائمة بأصحاب المصلحة.
  • البند 4.4 — نطاق ISMS: يتطلب المعيار الآن من المنظمات تحديد العمليات اللازمة لنظام إدارة أمن المعلومات وتفاعلاتها، مما يدفع نحو التفكير القائم على العمليات.
  • البند 6.2 — الأهداف: يجب الآن مراقبة أهداف أمن المعلومات، ويجب على المنظمة توثيق كيفية إجراء المراقبة بشكل صريح.
  • البند 6.3 — تخطيط التغييرات: هذا بند فرعي جديد. عندما تحدد المنظمة الحاجة إلى تغييرات في نظام إدارة أمن المعلومات، يجب إجراء تلك التغييرات بطريقة مخططة.
  • البند 8.1 — التخطيط والرقابة التشغيلية: يجب على المنظمات وضع معايير للعمليات الأمنية وتنفيذ الضوابط وفقًا لتلك المعايير.
  • البند 9.3 — مراجعة الإدارة: تتضمن مدخلات مراجعة الإدارة الآن صراحةً التغييرات في احتياجات وتوقعات الأطراف المعنية ذات الصلة بنظام إدارة أمن المعلومات.

هيكل ملحق A الجديد: أربعة محاور بدلاً من أربعة عشر

التغيير الأبرز هو إعادة تنظيم ملحق A. كان إصدار 2013 يحتوي على 14 فئة للضوابط (A.5 إلى A.18) تضم 114 ضابطًا. يُعيد إصدار 2022 هيكلتها في أربع مجموعات موضوعية:

المحور الضوابط الوصف
A.5 تنظيمي 37 السياسات والأدوار والمسؤوليات واستخبارات التهديدات وإدارة الأصول والتحكم في الوصول وعلاقات الموردين.
A.6 الأفراد 8 الفحص وشروط التوظيف والتوعية والتدريب والإجراءات التأديبية واتفاقيات السرية والعمل عن بُعد.
A.7 المادي 14 محيطات الأمن المادي وضوابط الدخول وتأمين المكاتب والمراقبة الأمنية المادية والحماية من التهديدات البيئية.
A.8 التقني 34 أجهزة المستخدم النهائية والوصول المتميز وإدارة التكوين وإخفاء البيانات ومنع تسرب البيانات والمراقبة وتصفية الويب والترميز الآمن.

الضوابط الإحدى عشرة الجديدة التي يجب معالجتها

يُقدم معيار ISO 27001:2022 أحد عشر ضابطًا لم يكن لها مكافئ مباشر في إصدار 2013. يعكس كل منها فجوة محددة تم تحديدها من خلال سنوات من خبرة التنفيذ ومشهد التهديدات المتغير:

  • A.5.7 — استخبارات التهديدات: يجب على المنظمات جمع وتحليل المعلومات المتعلقة بالتهديدات لأمن معلوماتها.
  • A.5.23 — أمن المعلومات لاستخدام الخدمات السحابية: ضابط مخصص يتطلب من المنظمات وضع إجراءات لاقتناء الخدمات السحابية واستخدامها وإدارتها والخروج منها.
  • A.5.30 — جاهزية تكنولوجيا المعلومات والاتصالات لاستمرارية الأعمال: يتجاوز تخطيط استمرارية الأعمال التقليدي ليتطلب إعداد أنظمة تكنولوجيا المعلومات والاتصالات تحديدًا للاضطرابات.
  • A.8.9 — إدارة التكوين: يجب إنشاء تكوينات الأجهزة والبرمجيات والخدمات والشبكات وتوثيقها وتنفيذها ومراقبتها ومراجعتها.
  • A.8.10 — حذف المعلومات: يجب حذف المعلومات المخزنة في الأنظمة والأجهزة عند عدم الحاجة إليها.
  • A.8.11 — إخفاء البيانات: يجب تطبيق إخفاء البيانات وفقًا لسياسة التحكم في الوصول الخاصة بالمنظمة.
  • A.8.12 — منع تسرب البيانات: يجب تطبيق تدابير منع فقدان البيانات على الأنظمة والشبكات ونقاط النهاية.
  • A.8.16 — أنشطة المراقبة: يجب مراقبة الشبكات والأنظمة والتطبيقات للكشف عن السلوك غير الطبيعي.
  • A.8.23 — تصفية الويب: يجب إدارة الوصول إلى المواقع الخارجية للحد من التعرض للمحتوى الضار.
  • A.8.28 — الترميز الآمن: يجب تطبيق مبادئ الترميز الآمن على تطوير البرمجيات.

عملية الانتقال: خارطة طريق عملية

سواء كنت تنتقل أو تعيد الحصول على الشهادة من البداية، توفر الخطوات التالية نهجًا منظمًا:

الخطوة 1: إجراء تحليل الفجوات. قارن بيان قابلية التطبيق (SoA) الحالي مع ضوابط ملحق A الجديدة. حدد خريطة كل ضابط موجود مع مكافئه في 2022. حدد الضوابط الـ 11 الجديدة وقيّم نضجك الحالي مقابل كل منها.

الخطوة 2: تحديث تقييم المخاطر. لا تحتاج منهجية تقييم المخاطر نفسها إلى تغيير، لكن مجموعة الضوابط المرجعية في خطة معالجة المخاطر يجب تحديثها لتعكس ملحق A من ISO 27002:2022.

الخطوة 3: مراجعة بيان قابلية التطبيق. بيان قابلية التطبيق هو أهم وثيقة في نظام إدارة أمن المعلومات من منظور التدقيق. يجب أن يشير إلى الضوابط الـ 93 من إصدار 2022.

الخطوة 4: تحديث السياسات والإجراءات. راجع جميع سياسات وإجراءات أمن المعلومات للتوافق مع مجموعة الضوابط الجديدة، مع التركيز بشكل خاص على المجالات التي تتطلب فيها الضوابط الجديدة عمليات جديدة.

الخطوة 5: تنفيذ الضوابط الجديدة. لكل من الضوابط الـ 11 الجديدة المنطبقة على منظمتك، حدد نهج التنفيذ وعيّن الملكية وخصص الموارد وحدد الجداول الزمنية.

الخطوة 6: تدريب فريقك. يحتاج جميع الموظفين الذين لديهم مسؤوليات في نظام إدارة أمن المعلومات إلى فهم التغييرات، بما في ذلك المدققون الداخليون الذين يجب تدريبهم على هيكل الضوابط الجديد.

الخطوة 7: إجراء تدقيق داخلي. قبل تدقيق الشهادة أو الانتقال، أجرِ تدقيقًا داخليًا كاملًا وفقًا لمتطلبات 2022 لتحديد أي فجوات متبقية.

الخطوة 8: تدقيق الشهادة. تواصل مع هيئة الشهادات الخاصة بك لجدولة تدقيق الانتقال أو إعادة الشهادة. تأكد من أن جميع الوثائق محدثة وأن أدلة تنفيذ الضوابط متاحة بسهولة.

المنظمات التي فاتها الموعد النهائي في أكتوبر 2025 يجب أن تتواصل مع هيئة الشهادات الخاصة بها فورًا. قد تقدم بعض الهيئات مسارات معجّلة لإعادة الشهادة.

كيف تدعم BALTUM عملية الانتقال

تدعم شبكة BALTUM الدولية من المدققين والمستشارين المنظمات خلال عملية الانتقال إلى ISO 27001:2022 منذ نشر المعيار. تشمل خدماتنا:

  • تحليل الفجوات: تقييم منظم يقارن نظام إدارة أمن المعلومات الحالي مع متطلبات 2022، يُقدَّم كخطة عمل مُرتبة حسب الأولوية.
  • دعم مراجعة SoA: توجيه خبير لتحديث بيان قابلية التطبيق بما في ذلك تعيين الضوابط وصياغة المبررات وإعداد أدلة التنفيذ.
  • تدريب المدققين الداخليين: برامج تدريبية معتمدة تُجهّز فريق التدقيق الداخلي للتدقيق وفقًا لمجموعة ضوابط 2022.
  • مراجعة الجاهزية: تقييم شامل للجاهزية يُجريه مدققون ذوو خبرة لتحديد وحل أي حالات عدم مطابقة متبقية قبل وصول هيئة الشهادات.

الانتقال إلى ISO 27001:2022 ليس مجرد التزام بالامتثال — إنه فرصة لتعزيز وضعك الأمني بضوابط تعكس مشهد التهديدات الحديث. كلما تصرفتَ أبكر، كانت العملية أكثر سلاسة.