الف) الزامات مدیریتی (بندهای ۴ تا ۱۰)
این بخش روی «سیستم مدیریت» تمرکز دارد:
۱. بند ۴ (بافت سازمان): شناسایی ذینفعان و تعیین مرزهای امنیت اطلاعات (کجا را می‌خواهیم امن کنیم؟).
۲. بند ۵ (رهبری): تعهد مدیریت ارشد، تعیین خط‌مشی و تقسیم نقش‌ها و مسئولیت‌ها.
۳. بند ۶ (برنامه‌ریزی): شناسایی ریسک‌ها و فرصت‌ها و تدوین طرحی برای مقابله با تهدیدات.
۴. بند ۷ (پشتیبانی): فراهم کردن منابع، شایستگی کارکنان، آگاهی‌رسانی و مدیریت مستندات.
۵. بند ۸ (عملیات): اجرای برنامه‌های مدیریت ریسک و کنترل تغییرات.
۶. بند ۹ (ارزیابی عملکرد): ممیزی داخلی و بازنگری مدیریت برای اطمینان از اثربخشی سیستم.
۷. بند ۱۰ (بهبود): شناسایی عدم‌انطباق‌ها و اصلاح مداوم سیستم.

ب) کنترل‌های امنیتی (Annex A – شامل ۴ گروه اصلی)
در ویرایش جدید ۲۰۲۲، کنترل‌ها از ۱۴ گروه به ۴ دسته کلی تقسیم شده‌اند:

۱. کنترل‌های سازمانی:
– تعیین خط‌مشی‌های امنیت اطلاعات.
– امنیت در روابط با تأمین‌کنندگان و پیمانکاران.
– استفاده از خدمات ابری (Cloud Services).
– مدیریت تداوم کسب‌وکار (در صورت بروز بحران).

۲. کنترل‌های کارکنان:
– غربالگری قبل از استخدام.
– آموزش و آگاهی‌رسانی مستمر امنیت به پرسنل.
– فرآیند قطع دسترسی‌ها پس از خروج یا تغییر سمت کارکنان.

۳. کنترل‌های فیزیکی:
– امنیت ورود و خروج به سایت، اتاق سرور و انبارها.
– محافظت از تجهیزات در برابر تهدیدات محیطی (آتش‌سوزی، قطع برق).
– پاکسازی میز کار و صفحه نمایش.

۴. کنترل‌های فناوری:
– احراز هویت: مدیریت کلمات عبور و دسترسی‌های کاربران.
– امنیت شبکه: فایروال‌ها، جداسازی شبکه‌ها (VLAN) و رمزنگاری.
– پشتیبان‌گیری: مدیریت نسخه‌های کپی از داده‌های حیاتی.
– مانیتورینگ: ثبت لاگ‌ها (Logs) و شناسایی نفوذ.
– امنیت کدنویسی: توسعه امن نرم‌افزارهای داخلی.