مقدمه
معماری Zero Trust یک چارچوب فنی–مفهومی است، در حالی که ISO/IEC 27001:2022 یک استاندارد مدیریتی برای سیستم مدیریت امنیت اطلاعات (ISMS) است.
نکته مهم این است که Zero Trust نهتنها با ISO 27001 در تضاد نیست، بلکه ابزار اجرایی بسیار قدرتمندی برای پیادهسازی عملی بسیاری از کنترلهای Annex A محسوب میشود.
اصول Zero Trust
برای تطبیق دقیق، Zero Trust را بر اساس این اصول در نظر میگیریم:
- احراز هویت و مجوزدهی مداوم
- حداقل سطح دسترسی (Least Privilege)
- تفکیک شبکه و منابع (Micro-Segmentation)
- پایش و لاگبرداری مداوم
- فرض نفوذ (Assume Breach)
تطبیق Zero Trust با کنترلهای Annex A
🔹 بر اساس Annex A رسمی ISO/IEC 27001:2022 (۹۳ کنترل در A.5 تا A.8)
A.5 — Organizational Controls
A.5.15 – Access Control
شرح کنترل:
دسترسی به اطلاعات و داراییها باید بر اساس سیاستهای تعریفشده کنترل شود.
تطبیق با Zero Trust:
- عدم اعتماد پیشفرض به هیچ کاربر
- اعتبارسنجی هر درخواست دسترسی
- Policy-based Access Control
Zero Trust = پیادهسازی عملی A.5.15
A.5.16 – Identity Management
شرح کنترل:
هویت کاربران و موجودیتها باید بهطور یکتا مدیریت شود.
تطبیق با Zero Trust:
- IAM مرکزی
- MFA
- بررسی Context (مکان، دستگاه، زمان)
A.5.18 – Access Rights
شرح کنترل:
حقوق دسترسی باید تخصیص، بازبینی و لغو شوند.
تطبیق با Zero Trust:
- دسترسی موقت (Just-In-Time)
- بازبینی پیوسته دسترسیها
- حذف دسترسیهای دائمی
A.6 — People Controls
A.6.3 – Information Security Awareness
شرح کنترل:
افراد باید از مسئولیتهای امنیتی خود آگاه باشند.
تطبیق با Zero Trust:
- تغییر ذهنیت «شبکه امن داخلی»
- آموزش اینکه هر درخواست بررسی میشود
- کاهش خطای انسانی و مهندسی اجتماعی
A.7 — Physical Controls
(تطبیق غیرمستقیم)
Zero Trust تمرکز اصلیاش دیجیتال است، اما:
- Device Trust
- بررسی سلامت Endpoint
با کنترلهای فیزیکی تکمیل میشود.
A.8 — Technological Controls (بخش کلیدی)
A.8.1 – User Endpoint Devices
شرح کنترل:
دستگاههای کاربری باید ایمن شوند.
تطبیق با Zero Trust:
- بررسی وضعیت امنیتی دستگاه
- عدم دسترسی دستگاههای ناسالم
- Device Posture Check
A.8.2 – Privileged Access Rights
شرح کنترل:
دسترسیهای سطح بالا باید کنترل شوند.
تطبیق با Zero Trust:
- PAM
- دسترسی محدود، زماندار و ثبتشده
- عدم اعتماد حتی به ادمین
A.8.16 – Monitoring Activities
شرح کنترل:
فعالیتها باید ثبت، پایش و تحلیل شوند.
تطبیق با Zero Trust:
- Continuous Monitoring
- Behavioral Analytics
- SIEM / SOAR
A.8.20 – Network Security
شرح کنترل:
شبکهها باید ایمن و تفکیک شوند.
تطبیق با Zero Trust:
- Micro-Segmentation
- عدم اعتماد به شبکه داخلی
- جایگزینی مدل Perimeter
A.8.21 – Security of Network Services
شرح کنترل:
سرویسهای شبکه باید امن باشند.
تطبیق با Zero Trust:
- احراز هویت سرویس به سرویس
- API Security
- Service Identity
A.8.23 – Web Filtering
شرح کنترل:
دسترسی به وب باید کنترل شود.
تطبیق با Zero Trust:
- Policy-based Internet Access
- Secure Web Gateway
- ZTNA جایگزین VPN
جدول خلاصه تطبیق
| اصل Zero Trust | کنترلهای مرتبط Annex A |
|---|---|
| احراز هویت مداوم | A.5.15, A.5.16 |
| Least Privilege | A.5.18, A.8.2 |
| Micro-Segmentation | A.8.20 |
| Monitoring | A.8.16 |
| Device Trust | A.8.1 |
| Service Identity | A.8.21 |
نتیجهگیری
Zero Trust:
- کنترل جدیدی در ISO نیست
- بلکه روش پیادهسازی مدرن کنترلهای Annex A است
سازمانی که Zero Trust را درست پیادهسازی کند:
✔ انطباق واقعی با ISO 27001 دارد
✔ نه صرفاً انطباق کاغذی
✔ و آمادگی بالاتری در برابر تهدیدات مدرن خواهد داشت
افزودن نظر