گواهینامه ایزو 27001

معرفی ایزو IEC 27001 استاندارد فن آوری اطلاعات ، تکنیک های امنیتی و سیستم های مدیریت امنیت اطلاعات

ISO / IEC 27001 به طور رسمی یک سیستم مدیریت امنیت اطلاعات (ISMS) می باشد که مجموعه ای از فعالیت های مربوط به مدیریت خطرات احتمالی اطلاعات (به نام خطرات امنیت اطلاعات در استاندارد) را مشخص می کند. ISMS یک چارچوب مدیریتی جامع است که از طریق آن سازمان شناسایی، تحلیل خطرات و ریسک های اطلاعاتی خود را شناسایی می نماید.اخذ گواهینامه ایزو ISMS تضمین می کند که ترتیبات امنیتی دقیقی تنظیم شود که با تغییرات در تهدیدات امنیتی، آسیب پذیری ها و تاثیرات تجاری که بخشی مهم و مزیتی کلیدی و مبتنی بر ریسک انحصاری هست اجرایی گردد.


این استاندارد تمامی انواع سازمان ها مانند شرکت های تجاری، سازمان های دولتی و حتی غیر سود آوری و با هر اندازه از شرکت های کوچک به شرکت های بزرگ چند ملیتی و تمام صنایع یا بازارها مانند خرده فروشی، بانکی، دفاع، مراقبت های بهداشتی، آموزش و دولت را شامل می شود.


با اخذ گواهینامه ایزو IEC 27001 به طور رسمی دستورالعمل هایی عمومی جهت کنترل اطلاعات را نمی دهد به این دلیل که این دستورالعمل ها برای هر سازمانی متفاوت هستند.دستورالعمل های کنترل امنیت اطلاعات از استاندارد ISO / IEC 27002 در ضمیمه A به ISO / IEC 27001 تغییر پیدا کرده است. سازمان های اجرا کننده سیستم ISO / IEC 27001 می توانند هر کدام از دستورالعمل های ذکر شده در این استاندارد را برای کنترل خطرات خاص و احتمالی اطلاعات سازمان خود اعمال کنند. علاوه بر کنترل خطرات احتمالی اطلاعات هر سازمان، مدیریت مجموعه ها ممکن است تصمیم بگیرند که از ایجاد خطرهای احتمالی مربوط به اطلاعات سازمان پیشگیری نماید نه اینکه فقط از سیاست کنترل خطرهای احتمالی استفاده نمایند. تصمیم گیری در مورد ریسک پذیری فرآیندها و مدیریت ریسک در سازمان در این استاندارد و پس از اخذ گواهینامه ایزو 27001 گنجانده شده است.


تاریخچه ایزو 27001

استاندارد ISO / IEC 27001 از استاندارد BS 7799 Part2 مشتق شده است که برای اولین بار در سال 1999 منتشر شد.BS 7799 part 2 توسط BSI در سال 2002 تجدید نظر شده است و به صراحت شامل پروسه برنامه، انجام، چک و قانون هست.BS 7799 part 2 به عنوان ISO / IEC 27001 در سال 2005 به تصویب رسید. این استاندارد در سال 2013 به طور گسترده مورد بازنگری قرار گرفت و آن را با سایر استاندارد های سیستم مدیریت صدور ایزو مطابقت داده شد.

اخذ گواهینامه ایزو 27001


ساختار استاندارد ISO / IEC 27001: 2013 دارای بخش های زیر است:

1. مقدمه : استاندارد از رویکرد فرآیند استفاده می کند.

2. دامنه : که شامل مشخصه های عمومی ISMS مناسب برای سازمان ها با هر نوع فعالیت، اندازه و یا ماهیتی است.

3. نکته های استاندارد : برای درخواست کنندگان اخذ گواهینامه ایزو 27001 رعایت الزامات استاندارد ایزو ISO / IEC 27000 کاملا ضروری است و اخذ ایزو ISO27k بطور اختیاری اجرایی می گردد.

4. شرایط و تعاریف : این استاندارد دارای شرایط و تعاریفی است که در سازمان هایی که استاندارد ایزو 27000 را اجرایی کردند، جایگزین شده است.

5. زمینه سازمانی : درک ساختار سازمان، نیاز ها ، انتظارات و تعریف محدوده ISMS در بخش 4.4 متن این استادارد به وضوح بیان شده است که اعلام می کند سازمان باید یک سیستم ISMS سازگار را ایجاد، پیاده سازی، حفظ نماید و به طور مستمر بهبود بخشد.

6. رهبری : مدیریت ارشد در هر سازمانی می بایست رهبری و تعهد به ISMS را بر عهده گیرد و سیاست های ماموریت و تخصیص مسئولیت بخش های مختلف سازمان را برای پیشبرد اهداف سازمان مطابق با ISMS مشخص نماید.

7. برنامه ریزی : روند تشریح، شناسایی، تجزیه و تحلیل و برنامه ریزی برای درمان خطرات اطلاعات و اهداف امنیت اطلاعات را مشخص می کند.

8. پشتیبانی: می بایست منابع کافی و شایسته جهت آگاه سازی و مستند سازی اطلاعات سازمان تهیه و کنترل شود.

9. عملیات : جزئیات کمی در مورد ارزیابی و ریسک خطرات ، مدیریت تغییرات و مستند سازی اطلاعات سازمان ها وجود دارد تا حدی که توسط حسابرسان صدور گواهینامه ایزو مورد ارزیابی قرار گیرند.

10. ارزیابی عملکرد : نظارت، اندازه گیری، تجزیه و تحلیل و ارزیابی - ممیزی - بررسی کنترل های امنیتی اطلاعات، فرایندها و سیستم مدیریت به منظور بهبود سیستماتیک در صورت لزوم را شامل می شود.

11. بهبود: این مرحله شامل دسترسی به یافته های حسابرسی و بررسی عدم انطباق ها و اقدامات اصلاحی می باشد. این اقدامات اصلاحی تا جایی پیش می رود که سازمان به استاندارد ISMS دسترسی پیدا کند.


در متن اخذ گواهینامه ایزو IEC 27001 ، استاندارد ایزو IEC 27000 به عنوان یک استاندارد ضروری گنجانده شده است و در چندین مورد برای کسب اطلاعات بیشتر ارجاع به استاندارد ISO 31000 در مورد مدیریت ریسک نیز وجود دارد.


الزامات اجباری برای صدور گواهینامه ایزو IEC 27001 :

این استاندارد یک استاندارد رسمی برای ISMS با دو هدف متمایز است:

هدف اول: در یک سطح نسبتا بالا، یک سازمان می تواند برای انجام یک سیستم ISMS اقدام کند.

هدف دوم: می تواند (به صورت اختیاری) به عنوان مبنایی برای ارزیابی تطابق رسمی توسط حسابرسان اخذ گواهینامه ایزو معتبر به منظور صدور گواهینامه برای یک سازمان استفاده شود.


مستندات اجباری زیر به صراحت برای صدور گواهینامه ایزو 27001 مورد نیاز است:

1. محدوده ISMS (به عنوان بند 4.3)

2. سیاست امنیتی اطلاعات (بند 5.2)

3. فرایند ارزیابی خطر اطلاعات (بند 6.1.2)

4. روند پردازش ریسک اطلاعات (بند 6.1.3)

5. اهداف امنیت اطلاعات (بند 6.2)

6. گواهی صلاحیت افراد کار در امنیت اطلاعات (بند 7.2)

7. سایر اسناد مرتبط با ISMS که توسط سازمان مورد نیاز است (بند 7.5.1 ب)

8. اسناد برنامه ریزی عملیاتی و کنترل (بند 8.1)

9. نتایج ارزیابی ریسک (بند 8.2)

10. تصمیم گیری در مورد درمان ریسک (بند 8.3)

11. مدارک نظارت و اندازه گیری امنیت اطلاعات (بند 9.1)

12. برنامه حسابرسی داخلی و نتایج حسابرسی اجرا شده (بند 9.2)

13. شواهد ارزیابی مدیریت ارشد ISMS (بند 9.3)

14. شواهد عدم انطباق شناسایی شده و اقدامات اصلاحی ناشی از آن (بند 10.1)

گواهینامه ایزو 27001


سازمان ها می توانند ISMS خود را به طور وسیع یا به همان اندازه محدود کنند که می خواهند - در حقیقت، تصمیم گیری مهم برای مدیریت ارشد است . دامنه ISMS مستند شده یکی از الزامات اجباری برای صدور گواهینامه ایزو 27001 است.مطابقت گواهینامه ISO / IEC 27001 با یک گواهینامه ایزو معتبر و قابل اعتماد، به طور کامل اختیاری است ، اما به طور فزاینده ای از تامین کنندگان و شرکای تجاری از سازمان هایی نگران امنیت اطلاعات خود و امنیت اطلاعات در سراسر زنجیره عرضه و یا شبکه هستند .


طبق بررس انجام شده در سال 2016، بیش از 33000 گواهینامه ISO / IEC 27001 در سراسر جهان وجود دارد، هر سال حدود 20 درصد افزایش یافته است.


این گواهینامه پتانسیل بازاریابی دارد و نشان می دهد که سازمان به طور جدی امنیت اطلاعات را مدیریت می کند. با این حال ، ارزش اطمینان اخذ گواهینامه ایزو 27001 بسیار وابسته به دامنه ISMS است و به عبارت دیگر، ایمنی بیش از حد در گواهی سازمانی ISO / IEC 27001 سازمان وجود ندارد.


وضعیت استاندارد

ISO / IEC 27001 در سپتامبر 2013 به طور کامل بازنویسی و مجددا صادر شد.از آنجا که ISO / IEC JTC1 اصرار بر تغییرات قابل توجهی برای اصلاح این استاندارد با سایر استانداردهای سیستم های مدیریتی که شامل تضمین کیفیت، حفاظت از محیط زیست و غیره دارد.ایده این است که مدیرانی که با هر یک از سیستم های مدیریت ایزو آشنا هستند، اصول پایه ای ISMS را درک خواهند کرد.


مفاهیمی مانند صدور گواهینامه، سیاست، عدم انطباق، کنترل اسناد، ممیزی داخلی و بررسی مدیریت برای همه استانداردهای سیستم های مدیریتی رایج هستند و در واقع این فرایند ها می توانند به شدت در سازمان استاندارد سازی شوند.


درباره ISO/IEC 27001

ISO / IEC 27001 یک چارچوب عالی است که به سازمان ها کمک می کند تا دارایی های اطلاعاتی خود را مدیریت کنند و محافظت نمایند تا امنیت آن ها حفظ شود.


مراحل اخذ گواهینامه ایزو ISO / IEC 27001:

1. معرفی ISO / IEC 27001

2. مدیریت ایمنی اطلاعات ISO / IEC 27001 چیست و چگونه برای کسب و کار مناسب است

3. پیاده سازی ISO / IEC 27001

4. کشف بهترین راه برای پیاده سازی یک سیستم مدیریت ایزو ISO/ IEC 27001

5. اخذ گواهینامه ایزو ISO / IEC 27001


اهمیت اخذ انواع ایزو

امروزه اخذ استانداردهای ایزو بسیار حائز اهمیت می باشد تا آنجا که شرط بسیاری از مبادلات بازرگانی در سطح بین المللی می باشند. این سازمان به ترویج بین المللی استانداردهای صنعتی و اقتصادی می پردازد تا تبادلات صنایع و حرفه های مختلف را در یک راستا هماهنگ سازد.

گواهینامه ایزو 9001

هنگامی که هر کدام از گواهینامه های ایزو از جمله ایزو 9001 را دریافت می کنید، به بیش از یک میلیون سازمان در سراسر جهان می پیوندید که کسب و کار خود را با این سیستم مدیریتی بهبود بخشیده اند. ایزو 9001 نه تنها به عنوان سیستم مدیریت کیفیت جامع (QMS) در سطح جهان به رسمیت شناخته شده بلکه به عنوان یک ابزار قدرتمند بهبود کسب و کار نیز شناخته شده است.یک سیستم مدیریت کیفیت ISO 9001 به شما کمک می کند تا به طور مداوم نظارت و مدیریت کیفیت در سراسر کسب و کار شما جاری باشد.

گواهینامه ایزو GMP

GMP استانداردی برای روش های تولیدی به منظور تطابق با الزمات قانونی مقررات اتحادیه اروپا 1935/2004/EG در ارتباط با موادغذایی می باشد. GMP از گواهینامه های مرتبط به سازمان غذا و دارو کشور آمریکا است که به منظور روش های تولید مناسب مورد استفاده قرار می گیرد ، برای صنایعی همچون دارو ، غذا و همچنین آرایشی بهداشتی کاربرد دارد. اخذ گواهینامه ایزو GMP کلیه شرکت های تولید کننده موارد ذکر شده را ملزم به رعایت استاندارد های از پیش تعیین شده برای تولید و بسته بندی محصولات و دستگاه ها می نماید.

اخذ ایزو 26000

یکپارچه سازی، پیاده سازی و ارتقاء رفتار مسئولیت اجتماعی در سراسر سازمان و از طریق سیاست ها و شیوه های آن، در گستره نفوذ آن .

شرایط اخذ ایزو برای شرکتها

نیازی به شرایط خاصی برای اخذ گواهینامه ایزو نمیباشد.هرشرکتی دارای دفترمرکزی ویا ودرحال کار میتواند گواهینامه ایزو دریافت نماید.تعداد پرسنل ، حجم سازمان ، تعداد فرآیندهای اجرایی ، نقش بسزایی درراستای پیاده سازی ایزو و درنهایت اخذ گواهینامه ایزو دارند.

هزینه مشاوره ایزو

شرکت ها می توانند با همکاری با مشاور ایزو تولیدات خود را به کیفیت مناسب برای دریافت این گواهینامه ها برسانند، وظایف شرکت مشاوره ایزو مشخص و در جهت دریافت سریع تر گواهینامه ایزو می باشد.