گواهینامه ایزو 27001

معرفی ایزو IEC 27001 استاندارد فن آوری اطلاعات ، تکنیک های امنیتی و سیستم های مدیریت امنیت اطلاعات

ISO / IEC 27001 به طور رسمی یک سیستم مدیریت امنیت اطلاعات (ISMS) می باشد که مجموعه ای از فعالیت های مربوط به مدیریت خطرات احتمالی اطلاعات (به نام خطرات امنیت اطلاعات در استاندارد) را مشخص می کند. ISMS یک چارچوب مدیریتی جامع است که از طریق آن سازمان شناسایی، تحلیل خطرات و ریسک های اطلاعاتی خود را شناسایی می نماید.اخذ گواهینامه ایزو ISMS تضمین می کند که ترتیبات امنیتی دقیقی تنظیم شود که با تغییرات در تهدیدات امنیتی، آسیب پذیری ها و تاثیرات تجاری که بخشی مهم و مزیتی کلیدی و مبتنی بر ریسک انحصاری هست اجرایی گردد.


این استاندارد تمامی انواع سازمان ها مانند شرکت های تجاری، سازمان های دولتی و حتی غیر سود آوری و با هر اندازه از شرکت های کوچک به شرکت های بزرگ چند ملیتی و تمام صنایع یا بازارها مانند خرده فروشی، بانکی، دفاع، مراقبت های بهداشتی، آموزش و دولت را شامل می شود.


با اخذ گواهینامه ایزو IEC 27001 به طور رسمی دستورالعمل هایی عمومی جهت کنترل اطلاعات را نمی دهد به این دلیل که این دستورالعمل ها برای هر سازمانی متفاوت هستند.دستورالعمل های کنترل امنیت اطلاعات از استاندارد ISO / IEC 27002 در ضمیمه A به ISO / IEC 27001 تغییر پیدا کرده است. سازمان های اجرا کننده سیستم ISO / IEC 27001 می توانند هر کدام از دستورالعمل های ذکر شده در این استاندارد را برای کنترل خطرات خاص و احتمالی اطلاعات سازمان خود اعمال کنند. علاوه بر کنترل خطرات احتمالی اطلاعات هر سازمان، مدیریت مجموعه ها ممکن است تصمیم بگیرند که از ایجاد خطرهای احتمالی مربوط به اطلاعات سازمان پیشگیری نماید نه اینکه فقط از سیاست کنترل خطرهای احتمالی استفاده نمایند. تصمیم گیری در مورد ریسک پذیری فرآیندها و مدیریت ریسک در سازمان در این استاندارد و پس از اخذ گواهینامه ایزو 27001 گنجانده شده است.


تاریخچه ایزو 27001

استاندارد ISO / IEC 27001 از استاندارد BS 7799 Part2 مشتق شده است که برای اولین بار در سال 1999 منتشر شد.BS 7799 part 2 توسط BSI در سال 2002 تجدید نظر شده است و به صراحت شامل پروسه برنامه، انجام، چک و قانون هست.BS 7799 part 2 به عنوان ISO / IEC 27001 در سال 2005 به تصویب رسید. این استاندارد در سال 2013 به طور گسترده مورد بازنگری قرار گرفت و آن را با سایر استاندارد های سیستم مدیریت صدور ایزو مطابقت داده شد.

اخذ گواهینامه ایزو 27001


ساختار استاندارد ISO / IEC 27001: 2013 دارای بخش های زیر است:

1. مقدمه : استاندارد از رویکرد فرآیند استفاده می کند.

2. دامنه : که شامل مشخصه های عمومی ISMS مناسب برای سازمان ها با هر نوع فعالیت، اندازه و یا ماهیتی است.

3. نکته های استاندارد : برای درخواست کنندگان اخذ گواهینامه ایزو 27001 رعایت الزامات استاندارد ایزو ISO / IEC 27000 کاملا ضروری است و اخذ ایزو ISO27k بطور اختیاری اجرایی می گردد.

4. شرایط و تعاریف : این استاندارد دارای شرایط و تعاریفی است که در سازمان هایی که استاندارد ایزو 27000 را اجرایی کردند، جایگزین شده است.

5. زمینه سازمانی : درک ساختار سازمان، نیاز ها ، انتظارات و تعریف محدوده ISMS در بخش 4.4 متن این استادارد به وضوح بیان شده است که اعلام می کند سازمان باید یک سیستم ISMS سازگار را ایجاد، پیاده سازی، حفظ نماید و به طور مستمر بهبود بخشد.

6. رهبری : مدیریت ارشد در هر سازمانی می بایست رهبری و تعهد به ISMS را بر عهده گیرد و سیاست های ماموریت و تخصیص مسئولیت بخش های مختلف سازمان را برای پیشبرد اهداف سازمان مطابق با ISMS مشخص نماید.

7. برنامه ریزی : روند تشریح، شناسایی، تجزیه و تحلیل و برنامه ریزی برای درمان خطرات اطلاعات و اهداف امنیت اطلاعات را مشخص می کند.

8. پشتیبانی: می بایست منابع کافی و شایسته جهت آگاه سازی و مستند سازی اطلاعات سازمان تهیه و کنترل شود.

9. عملیات : جزئیات کمی در مورد ارزیابی و ریسک خطرات ، مدیریت تغییرات و مستند سازی اطلاعات سازمان ها وجود دارد تا حدی که توسط حسابرسان صدور گواهینامه ایزو مورد ارزیابی قرار گیرند.

10. ارزیابی عملکرد : نظارت، اندازه گیری، تجزیه و تحلیل و ارزیابی - ممیزی - بررسی کنترل های امنیتی اطلاعات، فرایندها و سیستم مدیریت به منظور بهبود سیستماتیک در صورت لزوم را شامل می شود.

11. بهبود: این مرحله شامل دسترسی به یافته های حسابرسی و بررسی عدم انطباق ها و اقدامات اصلاحی می باشد. این اقدامات اصلاحی تا جایی پیش می رود که سازمان به استاندارد ISMS دسترسی پیدا کند.


در متن اخذ گواهینامه ایزو IEC 27001 ، استاندارد ایزو IEC 27000 به عنوان یک استاندارد ضروری گنجانده شده است و در چندین مورد برای کسب اطلاعات بیشتر ارجاع به استاندارد ISO 31000 در مورد مدیریت ریسک نیز وجود دارد.


الزامات اجباری برای صدور گواهینامه ایزو IEC 27001 :

این استاندارد یک استاندارد رسمی برای ISMS با دو هدف متمایز است:

هدف اول: در یک سطح نسبتا بالا، یک سازمان می تواند برای انجام یک سیستم ISMS اقدام کند.

هدف دوم: می تواند (به صورت اختیاری) به عنوان مبنایی برای ارزیابی تطابق رسمی توسط حسابرسان اخذ گواهینامه ایزو معتبر به منظور صدور گواهینامه برای یک سازمان استفاده شود.


مستندات اجباری زیر به صراحت برای صدور گواهینامه ایزو 27001 مورد نیاز است:

1. محدوده ISMS (به عنوان بند 4.3)

2. سیاست امنیتی اطلاعات (بند 5.2)

3. فرایند ارزیابی خطر اطلاعات (بند 6.1.2)

4. روند پردازش ریسک اطلاعات (بند 6.1.3)

5. اهداف امنیت اطلاعات (بند 6.2)

6. گواهی صلاحیت افراد کار در امنیت اطلاعات (بند 7.2)

7. سایر اسناد مرتبط با ISMS که توسط سازمان مورد نیاز است (بند 7.5.1 ب)

8. اسناد برنامه ریزی عملیاتی و کنترل (بند 8.1)

9. نتایج ارزیابی ریسک (بند 8.2)

10. تصمیم گیری در مورد درمان ریسک (بند 8.3)

11. مدارک نظارت و اندازه گیری امنیت اطلاعات (بند 9.1)

12. برنامه حسابرسی داخلی و نتایج حسابرسی اجرا شده (بند 9.2)

13. شواهد ارزیابی مدیریت ارشد ISMS (بند 9.3)

14. شواهد عدم انطباق شناسایی شده و اقدامات اصلاحی ناشی از آن (بند 10.1)

گواهینامه ایزو 27001


سازمان ها می توانند ISMS خود را به طور وسیع یا به همان اندازه محدود کنند که می خواهند - در حقیقت، تصمیم گیری مهم برای مدیریت ارشد است . دامنه ISMS مستند شده یکی از الزامات اجباری برای صدور گواهینامه ایزو 27001 است.مطابقت گواهینامه ISO / IEC 27001 با یک گواهینامه ایزو معتبر و قابل اعتماد، به طور کامل اختیاری است ، اما به طور فزاینده ای از تامین کنندگان و شرکای تجاری از سازمان هایی نگران امنیت اطلاعات خود و امنیت اطلاعات در سراسر زنجیره عرضه و یا شبکه هستند .


طبق بررس انجام شده در سال 2016، بیش از 33000 گواهینامه ISO / IEC 27001 در سراسر جهان وجود دارد، هر سال حدود 20 درصد افزایش یافته است.


این گواهینامه پتانسیل بازاریابی دارد و نشان می دهد که سازمان به طور جدی امنیت اطلاعات را مدیریت می کند. با این حال ، ارزش اطمینان اخذ گواهینامه ایزو 27001 بسیار وابسته به دامنه ISMS است و به عبارت دیگر، ایمنی بیش از حد در گواهی سازمانی ISO / IEC 27001 سازمان وجود ندارد.


وضعیت استاندارد

ISO / IEC 27001 در سپتامبر 2013 به طور کامل بازنویسی و مجددا صادر شد.از آنجا که ISO / IEC JTC1 اصرار بر تغییرات قابل توجهی برای اصلاح این استاندارد با سایر استانداردهای سیستم های مدیریتی که شامل تضمین کیفیت، حفاظت از محیط زیست و غیره دارد.ایده این است که مدیرانی که با هر یک از سیستم های مدیریت ایزو آشنا هستند، اصول پایه ای ISMS را درک خواهند کرد.


مفاهیمی مانند صدور گواهینامه، سیاست، عدم انطباق، کنترل اسناد، ممیزی داخلی و بررسی مدیریت برای همه استانداردهای سیستم های مدیریتی رایج هستند و در واقع این فرایند ها می توانند به شدت در سازمان استاندارد سازی شوند.


درباره ISO/IEC 27001

ISO / IEC 27001 یک چارچوب عالی است که به سازمان ها کمک می کند تا دارایی های اطلاعاتی خود را مدیریت کنند و محافظت نمایند تا امنیت آن ها حفظ شود.


مراحل اخذ گواهینامه ایزو ISO / IEC 27001:

1. معرفی ISO / IEC 27001

2. مدیریت ایمنی اطلاعات ISO / IEC 27001 چیست و چگونه برای کسب و کار مناسب است

3. پیاده سازی ISO / IEC 27001

4. کشف بهترین راه برای پیاده سازی یک سیستم مدیریت ایزو ISO/ IEC 27001

5. اخذ گواهینامه ایزو ISO / IEC 27001


درباره گواهینامه های ایزو
ایزو یک سازمان بین المللی مستقل و غیر دولتی است که دارای 162 سازمان استاندارد ملی است. دبیرخانه مرکزی این سازمان در ژنو سوئیس می باشد و کشور ایران نیز یکی از اعضای این سازمان می باشد. در حقیقت کلمه ISO مخفف عبارت International Organization for Standardization می باشد که به معنای سازمان بین المللی استاندارد سازی می باشد.اخذ گواهینامه ایزو یکی از

شرایط تمدید گواهینامه ایزو
قطعا اهمیت اخذ گواهینامه ایزو برای مشاغل بر هیچ کس پوشیده نبوده و هر ارگان ، سازمان یا شرکتی به منظور رشد و پیشرفت در حرفه خود و همچنین افزایش میزان رضایت مشتری نیاز به اخذ ایزو دارد.مراحل اخذ گواهینامه ایزو شامل انجام دستورالعمل هایی است که منجر به بهبود کیفیت مشاغل و در نهایت به رشد و پیشرفت سازمان منجر خواهد شد. اما آنچه که مطرح می باشد این است که پس از اخذ گواهینامه ایزو بایستی به این موضوع توجه شود که این گواهینامه به صورت مادام العمر اعتبار نداشته و همانند سایر گواهینامه ها دارای تاریخ اعتبار می باشد.

ایزو 3834 استاندارد اجباری جوش
ISO 3834 با الزامات کیفیت در جوشکاری برابری می کند ( هم راستا هستند ) و برای شناسایی کنترل ها و روش های لازم آماده شده است.گواهینامه ایزو 3834 استاندارد سیستم کیفیت نیست بلکه جایگزین ایزو 9001 است.

اصطلاحات مربوط به گواهینامه ایزو
برای آشنایی با روند اخذ گواهینامه ایزو و یا آگاهی بیشتر با فرایند استاندارد سازی، سازمان ایزو اقدام به ارائه تعاریف و اصطلاحاتی نموده است که توسط کشورهای عضو این سازمان به شکل هماهنگ پایه گذاری شده است. زبان اصلی تعاریف یکپارچه سازمان ایزو بر اساس دو زبان رسمی انگلیسی و فرانسوی می باشد و آنچه که می توان مشاهده کرد استفاده از واژه ها و اصطلاحات بر اساس این دو زبان می باشد که هر کشور می تواند آن را بر اساس زبان کشور خود ترجمه نماید.

اخذ گواهینامه ایزو 16949 IATF

گواهینامه ایزو IATF16949:2016 جايگزين ISO / TS 16949: 2009 استانداردي است که الزامات سيستم مديريت کيفيت (QMS) را براي بخش خودرو مشخص مي کند.

گواهینامه OHSAS 18001
استاندارد 18001 استانداردي است كه ما را ملزم به رعايت نكات ايمني و بهداشتي مي نمايد. آمادگي جسماني كاركنان، رعايت نكات ايمني و تجهيزات ايمني در محيط كار، آمادگي در شرايط اضطراري از قبيل سيل و زلزله و بررسي ميزان و شدت و احتمال خطرات، مي كند. براي كاهش خطرات و افزايش آگاهي كاركنان نسبت به نحوه شناسايي خطرات و محاسبه ريسك آنها دستورالعمل هايي تدوين مي گردد. رعايت استانداردهاي ايمني حافظ جان كاركنان، سلامتي آنان و حفظ اموال و دارايي هاي يك سازمان است و رعايت اين استاندارد در ايجاد يك سازمان امن و عاري از خطر، ما را ياري مي كند.سري ارزيابي ايمني بهداشت شغلي استانداردي قابل مميزي و اخذ گواهينامه مي باشد،در پاسخ به نياز سازمانها به يك استاندارد سيستم مديريت ايمني و بهداشت شغلي كه بوسيله آن بتوانند سيستم مديريت خود را در زمينه هاي بهداشتي وايمني ارزيابي نمايند، تدوين شده است.
طراحی سایت و بهینه سازی سایت : آوینا پرداز
تمامی حقوق برای این وبسایت محفوظ می باشد