ISO 27001 Clauses vs Annex A Controls: क्या है अंतर? 11 Clauses और 93 Controls की पूरी जानकारी
नमस्ते दोस्तों! Tech Seekho India के साइबर सुरक्षा (Information Security) मास्टरक्लास सीरीज में आपका फिर से स्वागत है। अगर आप ISO 27001 को गहराई से समझना चाहते हैं, तो सबसे पहले आपको इसके ढांचे (Structure) को समझना होगा। अक्सर नए लोग इस बात में उलझ जाते हैं कि Clauses क्या होते हैं और Annex A Controls क्या होते हैं।
पिछले आर्टिकल में हमने विस्तार से चर्चा की थी कि ISO 27001 क्या है और इसके फायदे क्या हैं (Day 1)। आज हम इसके तकनीकी ढांचे को सरल भाषा में तोड़ेंगे। यदि आप Risk Assessment और RTP (Day 3) को समझना चाहते हैं, तो Clauses और Controls का यह अंतर समझना आपके लिए अनिवार्य है।
संक्षेप में मुख्य अंतर (Summary)
Clauses: ये मैनेजमेंट की आवश्यकताएं हैं। ये बताती हैं कि ISMS को कैसे मैनेज करना है। ये अनिवार्य (Mandatory) हैं।
Annex A Controls: ये सुरक्षा के व्यावहारिक तरीके (Practical Safeguards) हैं। ये रिस्क असेसमेंट के आधार पर चुने जाते हैं।
ISO 27001 Clauses क्या हैं? (Clauses 4 to 10)
ISO 27001 मानक में मुख्य रूप से 11 Clauses होते हैं (0 से 10 तक)। लेकिन ऑडिट और इम्प्लीमेंटेशन के नजरिए से Clause 4 से Clause 10 सबसे महत्वपूर्ण होते हैं। इन्हें High-Level Structure (HLS) कहा जाता है।
ये Clauses हमें यह नहीं बताते कि पासवर्ड कैसे सेट करना है या फायरवॉल कैसे लगानी है। बल्कि, ये हमें यह बताते हैं कि सूचना सुरक्षा मैनेजमेंट सिस्टम (ISMS) को बनाने, चलाने और सुधारने के लिए मैनेजमेंट को क्या करना चाहिए।
1. Clause 4: Context of the Organization
यह क्लॉज कहता है कि आपको अपनी कंपनी के अंदरूनी और बाहरी मुद्दों को समझना होगा। आपको यह तय करना होगा कि आपके ISMS का दायरा (Scope) क्या होगा।
2. Clause 5: Leadership
बिना टॉप मैनेजमेंट के सहयोग के सिक्योरिटी सफल नहीं हो सकती। यह क्लॉज लीडरशिप की जिम्मेदारी, पॉलिसी बनाने और भूमिकाएं (Roles & Responsibilities) तय करने पर जोर देता है।
3. Clause 6: Planning
यहाँ आप Risk Assessment और Risk Treatment की योजना बनाते हैं। सुरक्षा के उद्देश्य (Security Objectives) भी इसी क्लॉज में तय किए जाते हैं।
4. Clause 7: Support
संसाधन (Resources), जागरूकता (Awareness), और दस्तावेजीकरण (Documentation) इस क्लॉज का हिस्सा हैं।
5. Clause 8: Operation
जो योजना आपने Clause 6 में बनाई थी, उसे यहाँ लागू किया जाता है। यानी असल में काम शुरू होना।
6. Clause 9: Performance Evaluation
काम कितना अच्छा हो रहा है? इसे मापने के लिए Internal Audit और Management Review की जरूरत होती है।
7. Clause 10: Improvement
गलतियों से सीखना और सिस्टम को लगातार बेहतर बनाना (Continuous Improvement) ही इस क्लॉज का लक्ष्य है।
Annex A Controls क्या हैं? (The Practical Safeguards)
अगर Clauses एक कंपनी के "मैनेजर" हैं, तो Annex A Controls उसके "सुरक्षा गार्ड" हैं। ISO 27001:2022 के नए अपडेट के बाद, अब इसमें कुल 93 Controls हैं, जिन्हें 4 मुख्य थीम्स (Themes) में बांटा गया है।
Annex A कंट्रोल्स वे विशिष्ट तकनीकी और प्रशासनिक उपाय हैं जो किसी जोखिम (Risk) को कम करने के लिए लगाए जाते हैं। याद रखें, आप अपनी कंपनी में सभी 93 कंट्रोल्स लागू नहीं करते, बल्कि रिस्क असेसमेंट के आधार पर जरूरी कंट्रोल्स चुनते हैं।
| Category (Theme) | Number of Controls | Example of Controls |
|---|---|---|
| Organizational Controls | 37 Controls | Information Security Policies, Asset Inventory, Cloud Services. |
| People Controls | 8 Controls | Screening, Training, Confidentiality Agreements. |
| Physical Controls | 14 Controls | Physical Entry, Equipment Siting, Clear Desk and Clear Screen. |
| Technological Controls | 34 Controls | Access Control, Encryption, Secure Coding, Backup. |
Clauses vs Annex A Controls: मुख्य अंतर
इन दोनों के बीच के अंतर को समझना एक प्रोफेशनल के लिए बहुत जरूरी है। नीचे दी गई टेबल इस अंतर को एकदम स्पष्ट कर देगी:
| Feature | ISO 27001 Clauses (4-10) | Annex A Controls |
|---|---|---|
| Purpose | मैनेजमेंट का ढांचा तैयार करना (MS Requirements) | सुरक्षा के खतरों को कम करना (Risk Treatment) |
| Flexibility | अनिवार्य (Mandatory) - इन्हें छोड़ नहीं सकते। | चयनात्मक (Selective) - रिस्क के हिसाब से चुन सकते हैं। |
| Audit Focus | मैनेजमेंट की प्रतिबद्धता और प्रक्रियाएं। | तकनीकी और फिजिकल सिक्योरिटी इम्प्लीमेंटेशन। |
| Statement of Applicability | SoA में नहीं आते। | SoA का मुख्य हिस्सा होते हैं। |
93 Controls को सिंपल भाषा में समझें
पहले 2013 के वर्जन में 114 कंट्रोल्स थे, जिन्हें अब 2022 वर्जन में 93 कर दिया गया है। इन कंट्रोल्स का उद्देश्य डेटा की C-I-A (Confidentiality, Integrity, Availability) को सुरक्षित रखना है।
1. Organizational Controls (संगठनात्मक सुरक्षा)
इसमें यह देखा जाता है कि कंपनी ने सूचना सुरक्षा के लिए कौन सी नीतियां बनाई हैं। जैसे—डेटा को कैसे वर्गीकृत (Classify) करना है या क्लाउड सर्विसेज को कैसे सुरक्षित रखना है।
2. People Controls (मानवीय सुरक्षा)
इंसानी गलतियां साइबर हमलों का बड़ा कारण होती हैं। यहाँ स्क्रीनिंग (Background Check) और सुरक्षा जागरूकता ट्रेनिंग (Awareness Training) की बात की जाती है।
3. Physical Controls (भौतिक सुरक्षा)
सिर्फ सॉफ्टवेयर नहीं, हार्डवेयर भी सुरक्षित होना चाहिए। जैसे सर्वर रूम में कौन जा सकता है (Access Control), कैमरों का उपयोग और क्लीन डेस्क पॉलिसी।
4. Technological Controls (तकनीकी सुरक्षा)
यह सबसे बड़ा हिस्सा है। इसमें एन्क्रिप्शन, नेटवर्क सिक्योरिटी, सिक्योर कोडिंग और मालवेयर प्रोटेक्शन जैसे तकनीकी समाधान आते हैं।
सही कंट्रोल्स का चुनाव कैसे करें? (Role of SoA)
जब आप Risk Treatment Plan (RTP) बनाते हैं, तब आप तय करते हैं कि कौन सा रिस्क बढ़ा है। उस रिस्क को कम करने के लिए आप Annex A की लिस्ट से कंट्रोल उठाते हैं।
इन चुने हुए कंट्रोल्स की लिस्ट को Statement of Applicability (SoA) कहा जाता है। यह एक ऐसा दस्तावेज है जो ऑडिट के समय सबसे पहले मांगा जाता है। इसमें आपको यह भी बताना होता है कि आपने कौन से कंट्रोल्स को 'Exempt' (छोड़ा) किया है और क्यों।
निष्कर्ष (Conclusion)
ISO 27001 के Clauses और Controls एक ही सिक्के के दो पहलू हैं। Clauses आपको सिस्टम को चलाने का "नियम" देते हैं, और Controls आपको "सुरक्षा" प्रदान करते हैं। एक सफल ISMS इम्प्लीमेंटेशन के लिए दोनों का तालमेल होना बहुत जरूरी है।
उम्मीद है कि Tech Seekho India का यह आर्टिकल आपको ISO 27001 के ढांचे को समझने में मदद करेगा। यदि आप अपनी कंपनी को भारत के DPDP Act के लिए तैयार करना चाहते हैं, तो ISO 27001 की यह जानकारी आपके बहुत काम आएगी।
अगले पोस्ट में हम बात करेंगे Asset Management और डेटा क्लासिफिकेशन के बारे में। बने रहिये हमारे साथ!
अपने विचार और सवाल कमेंट बॉक्स में जरूर लिखें!