گواهینامه ایزو 27001:2013


معرفی ایزو IEC 27001  استاندارد فن آوری اطلاعات ، تکنیک های امنیتی و سیستم های مدیریت امنیت اطلاعات 

ISO / IEC 27001 به طور رسمی یک سیستم مدیریت امنیت اطلاعات (ISMS) می باشد که مجموعه ای از فعالیت های مربوط به مدیریت خطرات احتمالی اطلاعات (به نام "خطرات امنیت اطلاعات" در استاندارد) را مشخص میکند.  ISMS یک چارچوب مدیریتی جامع است که از طریق آن سازمان شناسایی، تحلیل خطرات و ریسک های اطلاعاتی خود را شناسایی می نماید. ISMS تضمین می کند که ترتیبات امنیتی دقیقی تنظیم شود که با تغییرات در تهدیدات امنیتی، آسیب پذیری ها و تاثیرات تجاری که بخشی مهم و مزیتی کلیدی و مبتنی بر ریسک انحصاری هست اجرایی گردد.

این استاندارد تمامی انواع سازمان ها (مانند شرکت های تجاری، سازمان های دولتی و حتی غیر سودآوری) و با هر اندازه (از شرکت های کوچک به شرکت های بزرگ چند ملیتی) و تمام صنایع یا بازارها (مانند خرده فروشی، بانکی، دفاع، مراقبت های بهداشتی، آموزش و دولت ) را شامل می شود.

استاندارد ایزو IEC 27001  به طور رسمی دستورالعمل هایی عمومی جهت کنترل اطلاعات را نمیدهد به این دلیل که این دستورالعمل ها برای هر سازمانی متفاوت هستند.دستورالعملهای کنترل امنیت اطلاعات از     استاندارد ISO / IEC 27002 در ضمیمه A به ISO / IEC 27001 تغییر پیدا کرده است. سازمان های اجرا کننده سیستم ISO / IEC 27001 می توانند هر کدام از دستورالعمل های ذکر شده در این استاندارد را برای کنترل خطرات خاص و احتمالی اطلاعات سازمان خود اعمال کنند. علاوه بر کنترل خطرات احتمالی اطلاعات هر سازمان، مدیریت مجموعه ها ممکن است تصمیم بگیرند که از ایجاد خطرهای احتمالی مربوط به اطلاعات سازمان پیشگیری نماید نه اینکه فقط از سیاست کنترل خطرهای احتمالی استفاده نمایند. تصمیم گیری در مورد ریسک پذیری فرآیندها و  مدیریت ریسک در سازمان در استاندارد ایزو 27001 گنجانده شده است.

تاریخچه ایزو 27001

استاندارد ISO / IEC 27001 از استاندارد  BS 7799 Part2 مشتق شده است که برای اولین بار در سال 1999 منتشر شد.

BS 7799 part 2 توسط BSI در سال 2002 تجدید نظر شده است و به صراحت شامل پروسه برنامه، انجام، چک، قانون هست.

BS 7799 part 2 به عنوان ISO / IEC 27001 در سال 2005 به تصویب رسید. این استاندارد در سال 2013 به طور گسترده مورد بازنگری قرار گرفت و آن را با سایر استانداردهای سیستم مدیریت صدور ایزو مطابقت داده شد.

ساختار استاندارد ISO / IEC 27001: 2013 دارای بخش های زیر است:

1) مقدمه : استاندارد از رویکرد فرآیند استفاده می کند.

2) دامنه : که شامل مشخصه های عمومی ISMS مناسب برای سازمان ها با هر نوع فعالیت، اندازه و یا ماهیتی است.

3) نکته های استاندارد : برای درخواست کنندگان استاندارد ایزو 27001 رعایت الزامات استاندارد ایزو       ISO / IEC 27000 کاملا ضروری است و استاندارد ISO27k بطور اختیاری اجرایی میگردد.

4) شرایط و تعاریف : این استاندارد دارای شرایط و تعاریفی است که در سازمانهایی که  استاندارد ایزو 27000 را اجرایی کردند، جایگزین شده است.

5) زمینه سازمانی: درک ساختار سازمان، نیازها ، انتظارات و تعریف محدوده ISMS در بخش 4.4 متن این استادارد به وضوح بیان شده است که اعلام میکند "سازمان باید یک سیستم ISMS سازگار را ایجاد، پیاده سازی، حفظ نماید و به طور مستمر بهبود بخشد."

6) رهبری : مدیریت ارشد در هر سازمانی میبایست رهبری و تعهد به ISMS را بر عهده گیرد و سیاست های ماموریت و تخصیص مسئولیت بخشهای مختلف سازمان را برای پیشبرد اهداف سازمان مطابق با ISMS مشخص نماید.

7) برنامه ریزی : روند تشریح، شناسایی، تجزیه و تحلیل و برنامه ریزی برای درمان خطرات اطلاعات و اهداف امنیت اطلاعات را مشخص می کند.

8) پشتیبانی: میبایست منابع کافی و شایسته جهت آگاه سازی و مستند سازی اطلاعات سازمان تهیه و کنترل شود.

9) عملیات : جزئیات کمی در مورد ارزیابی و ریسک خطرات ، مدیریت تغییرات و مستند سازی اطلاعات سازمان ها وجود دارد تا حدی که توسط حسابرسان صدور گواهینامه ایزو مورد ارزیابی قرار گیرند.

10) ارزیابی عملکرد : نظارت، اندازه گیری، تجزیه و تحلیل و ارزیابی - ممیزی -  بررسی کنترل های امنیتی اطلاعات، فرایندها و سیستم مدیریت به منظور بهبود سیستماتیک در صورت لزوم را شامل می شود.

11) بهبود: این مرحله شامل دسترسی به یافته های حسابرسی و بررسی عدم انطباقها و اقدامات اصلاحی میباشد. این اقدامات اصلاحی تا جایی پیش میرود که سازمان به استاندارد ISMS دسترسی پیدا کند.

در متن استاندارد ایزو  IEC 27001 ، استاندارد ایزو IEC 27000 به عنوان یک استاندارد ضروری گنجانده شده است  و در چندین مورد برای کسب اطلاعات بیشتر ارجاع به استاندارد ISO 31000 در مورد مدیریت ریسک نیز وجود دارد.

الزامات اجباری برای صدور گواهینامه ایزو IEC 27001 :

این استاندارد یک استاندارد رسمی برای ISMS با دو هدف متمایز است:

هدف اول: در یک سطح نسبتا بالا، یک سازمان می تواند برای انجام یک سیستم ISMS اقدام کند.

هدف دوم:  می تواند (به صورت اختیاری) به عنوان مبنایی برای ارزیابی تطابق رسمی توسط حسابرسان اخذ ایزو معتبر به منظور صدور گواهینامه برای یک سازمان استفاده شود.

مستندات اجباری زیر به صراحت برای صدور گواهینامه ایزو 27001 مورد نیاز است:

1. محدوده ISMS (به عنوان بند 4.3)

2. سیاست امنیتی اطلاعات (بند 5.2)

3. فرایند ارزیابی خطر اطلاعات (بند 6.1.2)

4. روند پردازش ریسک اطلاعات (بند 6.1.3)

5. اهداف امنیت اطلاعات (بند 6.2)

6. گواهی صلاحیت افراد کار در امنیت اطلاعات (بند 7.2)

7. سایر اسناد مرتبط با ISMS که توسط سازمان مورد نیاز است (بند 7.5.1 ب)

8. اسناد برنامه ریزی عملیاتی و کنترل (بند 8.1)

9. نتایج ارزیابی ریسک (بند 8.2)

10. تصمیم گیری در مورد درمان ریسک (بند 8.3)

11. مدارک نظارت و اندازه گیری امنیت اطلاعات (بند 9.1)

12. برنامه حسابرسی داخلی و نتایج حسابرسی اجرا شده (بند 9.2)

13. شواهد ارزیابی مدیریت ارشد ISMS (بند 9.3)

14. شواهد عدم انطباق شناسایی شده و اقدامات اصلاحی ناشی از آن (بند 10.1)

سازمانها می توانند ISMS خود را به طور وسیع یا به همان اندازه محدود کنند که می خواهند - در حقیقت، تصمیم گیری مهم برای مدیریت ارشد است . دامنه ISMS مستند شده یکی از الزامات اجباری برای صدور گواهینامه ایزو 27001 است.

مطابقت گواهینامه ISO / IEC 27001 با یک گواهینامه ایزو معتبر و قابل اعتماد، به طور کامل اختیاری است ، اما به طور فزاینده ای از تامین کنندگان و شرکای تجاری از سازمان هایی نگران امنیت اطلاعات خود و امنیت اطلاعات در سراسر زنجیره عرضه و یا شبکه هستند .

طبق بررس انجام شده در سال 2016، بیش از 33000 گواهینامه ISO / IEC 27001 در سراسر جهان وجود دارد، هر سال حدود 20 درصد افزایش یافته است 

این گواهینامه پتانسیل بازاریابی دارد و نشان می دهد که سازمان به طور جدی امنیت اطلاعات را مدیریت می کند. با این حال، ، ارزش اطمینان گواهینامه ایزو 27001 بسیار وابسته به دامنه ISMS است و به عبارت دیگر، ایمنی بیش از حد در گواهی سازمانی ISO / IEC 27001 سازمان وجود ندارد.

وضعیت استاندارد

ISO / IEC 27001 در سپتامبر 2013 به طور کامل بازنویسی و مجددا صادر شد

از آنجا که ISO / IEC JTC1 اصرار بر تغییرات قابل توجهی برای اصلاح این استاندارد با سایر استانداردهای سیستم های مدیریتی که شامل تضمین کیفیت، حفاظت از محیط زیست و غیره دارد.ایده این است که مدیرانی که با هر یک از سیستم های مدیریت ایزو آشنا هستند، اصول پایه ای ISMS را درک خواهند کرد

مفاهیمی مانند صدور گواهینامه، سیاست، عدم انطباق، کنترل اسناد، ممیزی داخلی و بررسی مدیریت برای همه استانداردهای سیستم های مدیریتی رایج هستند و در واقع این فرایندها می توانند به شدت در سازمان استاندارد سازی شوند.

درباره ISO/IEC 27001

ISO / IEC 27001  یک چارچوب عالی است که به سازمانها کمک می کند تا دارایی های اطلاعاتی خود را مدیریت کنند و محافظت نمایند تا امنیت آنها حفظ شود

مراحل اخذ گواهینامه ISO / IEC 27001:

1.     معرفی  ISO / IEC 27001

2.     . مدیریت ایمنی اطلاعات ISO / IEC 27001 چیست و چگونه برای کسب و کار مناسب است

3.      پیاده سازی ISO / IEC 27001

4.     . کشف بهترین راه برای پیاده سازی یک سیستم مدیریت ایزو ISO/ IEC 27001

5.     اخذ گواهینامه ایزو ISO / IEC 27001

 موارد مهم در ممیزی و صدور گواهینامه ایزو

موارد و نکات مختلفی وجود دارد که بر فرایند ممیزی و مراحل صدور گواهینامه ایزو موثر هستند.برای مثال روند ممیزی یک سازمان متقاضی اخذ ایزو که 2000 کارمند در شیفت های کاری خود دارد با سازمانی که دارای 10 کارمند است متفاوت خواهد.
ادامه مطلب

 گواهینامه ایزو مراکز آموزشی

این استاندارد به منظور کمک به موسسه های آموزشی میباشد تا سیستم مدیریت کیفیت بر پایه استاندارد ایزو 9001 را با توجه به شرایط و ویژگی های خاص موسسات طرح ریزی و پیاده سازی نماید.
ادامه مطلب

 گواهینامه ایزو GMP

GMP استانداردی برای روش های تولیدی به منظور تطابق با الزمات قانونی مقررات اتحادیه اروپا 1935/2004/EG در ارتباط با موادغذایی می باشد.
ادامه مطلب

 گواهینامه ایزو 27001:2013

ایزو 27001 قسمی از استاندارد خانواده ایزو 27000 استاندارد سیستم مدیریت امنیت اطلاعات است که در سال ۲۰۰۵ توسط سازمان بین المللی استانداردها ( ایزو) و کمیسیون برق بین‌المللی است.
ادامه مطلب

 نشان CE

کلمه CE بروی بسیاری از محصولات معامله شده در بازار های منطقه اقتصادی اروپا (EEA) مشاهده میشود. EEA شامل کشورهای اتحادیه اروپا و همچنین ایسلند، لیختن اشتاین و نروژ است.
ادامه مطلب

 چگونه ایزو 9001 به چالش هاي SME کمک مي کند؟

با فرآيندهاي تعريف شده در استاندارد ایزو 9001 شما قادر به شناسايي نقاط ضعف در کسب و کار جديد خواهيد بود و بر اين اساس میتوانید اقدامات لازم را انجام دهید ایزو 9001 به رفع چالش های زیر کمک به سزایی می کند:
ادامه مطلب