ISO 27001:2022 مقابل 2013: ما الذي تغير؟

دليل مقارنة شامل للمؤسسات التي تنتقل إلى المعيار الجديد

الرئيسية المدونة دليل التنفيذ

📋 نظرة عامة على التغييرات

تم نشر ISO/IEC 27001:2022 في أكتوبر 2022، ليحل محل إصدار 2013. لدى المؤسسات المعتمدة وفقاً لـ ISO 27001:2013 حتى أكتوبر 2025 للانتقال إلى المعيار الجديد. فهم التغييرات أمر بالغ الأهمية لتخطيط استراتيجية الانتقال الخاصة بك.

ملخص التغييرات الرئيسية

  • 93 ضابطاً (انخفاضاً من 114): تم الدمج من أجل الوضوح وتقليل التكرار
  • 4 موضوعات (مقابل 14 مجالاً): تنظيمية، الأفراد، فيزيائية، تكنولوجية
  • 10 ضوابط جديدة: تغطي استخبارات التهديدات، أمان السحابة، جاهزية تقنية المعلومات والاتصالات
  • 24 ضابطاً مدمجاً: متطلبات متداخلة مجمعة
  • 58 ضابطاً محدثاً: لغة ومتطلبات موضحة

🏗️ بنية الضوابط الجديدة

من 14 مجالاً إلى 4 موضوعات

نظم ISO 27001:2013 الضوابط في 14 مجالاً. يبسط إصدار 2022 هذا إلى 4 موضوعات:

بنية 2022 (4 موضوعات)

  • الضوابط التنظيمية (37): السياسات، الأدوار، إدارة الأصول، أمان الموارد البشرية، إدارة الموردين
  • ضوابط الأفراد (8): الفحص، شروط التوظيف، الوعي والتدريب
  • الضوابط الفيزيائية (14): المناطق الآمنة، أمان المعدات، المرافق، التخلص
  • الضوابط التكنولوجية (34): المصادقة، التشفير، أمان الشبكة، التسجيل

التصنيف القائم على السمات

يضيف إصدار 2022 سمات لكل ضابط:

  • نوع الضابط: وقائي، تحري، تصحيحي
  • خصائص أمان المعلومات: السرية، النزاهة، التوافر
  • مفاهيم الأمن السيبراني: تحديد، حماية، كشف، استجابة، استرداد
  • القدرات التشغيلية: الحوكمة، إدارة الأصول، الحماية، إلخ.
  • مجالات الأمان: الحوكمة والنظام البيئي، الحماية، الدفاع، المرونة

✨ 10 ضوابط جديدة في 2022

5.7 استخبارات التهديدات

يجب على المؤسسات الآن جمع وتحليل استخبارات التهديدات ذات الصلة بأمان معلوماتها. هذا يضفي الطابع الرسمي على ما تفعله المؤسسات الناضجة بالفعل بشكل غير رسمي.

التنفيذ: الاشتراك في موجزات التهديدات، مراقبة التنبيهات الأمنية، تتبع الثغرات التي تؤثر على مجموعة التقنيات الخاصة بك.

5.23 أمان المعلومات للخدمات السحابية

متطلبات صريحة لاستخدام الخدمات السحابية وشرائها وإدارتها بشكل آمن. تتناول المخاطر الخاصة بالسحابة.

التنفيذ: تقييمات أمان موفر السحابة، توثيق نموذج المسؤولية المشتركة، مراجعات تكوين السحابة.

5.30 جاهزية تقنية المعلومات والاتصالات لاستمرارية العمل

يضمن أن أنظمة تقنية المعلومات والاتصالات جاهزة لدعم متطلبات استمرارية العمل. يعزز تركيز المرونة.

التنفيذ: اختبار إجراءات التعافي من الكوارث، التحقق من استعادة النسخ الاحتياطية، ضمان التكرار.

8.9 إدارة التكوين

يتطلب إدارة تكوين موثقة للأنظمة ذات الصلة بالأمان. يمنع انحراف التكوين.

التنفيذ: البنية التحتية كشفرة، خطوط أساس للتكوين، تتبع التغييرات.

8.10 حذف المعلومات

يضمن حذف المعلومات بشكل آمن عندما لا تكون مطلوبة بعد الآن. يدعم تقليل البيانات.

التنفيذ: سياسات الاحتفاظ بالبيانات، إجراءات الحذف الآمن، عمليات التحقق.

8.11 إخفاء البيانات

يتطلب إخفاء البيانات الحساسة عند الاقتضاء. يدعم الخصوصية واحتياجات الاختبار.

التنفيذ: إخفاء الهوية لبيانات الاختبار، التنقيح في السجلات، الترميز عند الاقتضاء.

8.12 منع تسرب البيانات

يعالج منع استخراج البيانات والإفصاح غير المصرح به.

التنفيذ: أدوات DLP، تصفية الخروج، قيود USB، ضوابط البريد الإلكتروني.

8.16 أنشطة المراقبة

يضفي الطابع الرسمي على متطلبات مراقبة أنشطة المستخدمين والأنظمة.

التنفيذ: SIEM، تجميع السجلات، تحليلات سلوك المستخدم.

8.23 تصفية الويب

يتطلب تصفية الويب لمنع الوصول إلى المحتوى الضار.

التنفيذ: تصفية DNS، خوادم بروكسي، تصنيف عناوين URL.

8.28 الترميز الآمن

متطلبات صريحة لمبادئ الترميز الآمن في تطوير البرمجيات.

التنفيذ: إرشادات OWASP، مراجعات الكود، SAST/DAST، تدريب أمني.

🔄 دليل الانتقال للمؤسسات المعتمدة

الجدول الزمني للانتقال

الموعد النهائي: أكتوبر 2025

  • أكتوبر 2022: نشر ISO 27001:2022
  • أكتوبر 2023: انتهاء فترة السماح لمدة عام واحد (تستخدم المراجعات الجديدة إصدار 2022)
  • أكتوبر 2025: انتهاء فترة الانتقال لمدة 3 سنوات (يجب أن تكون جميع الشهادات متوافقة مع 2022)

خطوات الانتقال

  1. تحليل الفجوة: مقارنة الضوابط الحالية مع الملحق A لعام 2022
  2. تحديث بيان القابلية للتطبيق: ربط ضوابط 2013 بمكافئات 2022
  3. تنفيذ الضوابط الجديدة: معالجة المتطلبات الـ 10 الجديدة
  4. تحديث التوثيق: مراجعة السياسات للإشارة إلى معيار 2022
  5. المراجعة الداخلية: التحقق من الامتثال للمتطلبات الجديدة
  6. مراجعة الانتقال: تقييم هيئة الاعتماد للامتثال لعام 2022

تحديات الانتقال الشائعة

  • قد تتطلب ضوابط أمان السحابة تقييمات موردين جديدة
  • تتطلب استخبارات التهديدات اشتراكات/عمليات مستمرة
  • تحتاج إدارة التكوين إلى الأتمتة
  • قد يحتاج منع تسرب البيانات إلى أدوات جديدة

💡 نصائح عملية للمؤسسات في MENA

ما لدى معظم المؤسسات بالفعل

أخبار جيدة: العديد من الضوابط "الجديدة" تضفي الطابع الرسمي على أفضل الممارسات الموجودة:

  • استخبارات التهديدات ← تراقب بالفعل CVEs وأخبار الأمان
  • أمان السحابة ← تستخدم بالفعل AWS/Azure مع بعض الأمان
  • إدارة التكوين ← البنية التحتية كشفرة موجودة بالفعل
  • المراقبة ← SIEM أو تجميع السجلات منشور بالفعل

ما يحتاج إلى العمل

الضوابط التي تتطلب عادةً تنفيذاً جديداً:

  • عملية استخبارات التهديدات الرسمية (وليس مجرد مراقبة مخصصة)
  • تقييمات أمان السحابة الموثقة (وليس مجرد استخدام الخدمات السحابية)
  • منع تسرب البيانات (قد تحتاج إلى أدوات DLP)
  • معايير الترميز الآمن (أمان SDLC الرسمي)

تأثير التكلفة

بالنسبة للشركات الصغيرة والمتوسطة في MENA المعتمدة بالفعل وفقاً لعام 2013:

  • الجهد الداخلي: 40-80 ساعة لتحليل الفجوة، تحديثات التوثيق، التنفيذ
  • مراجعة الانتقال: $2,000-$5,000 (غالباً ما تُجمع مع مراجعة المراقبة)
  • الأدوات الجديدة: $1,000-$3,000 إذا كانت هناك ثغرات في DLP أو المراقبة

تحتاج إلى دعم الانتقال؟ اتصل بـ Hack23 لتقييم الفجوة وتخطيط الانتقال المصمم لمؤسسات MENA.

📚 الموارد