گواهینامه ایزو 27001

معرفی ایزو IEC 27001 استاندارد فن آوری اطلاعات ، تکنیک های امنیتی و سیستم های مدیریت امنیت اطلاعات

ISO / IEC 27001 به طور رسمی یک سیستم مدیریت امنیت اطلاعات (ISMS) می باشد که مجموعه ای از فعالیت های مربوط به مدیریت خطرات احتمالی اطلاعات (به نام خطرات امنیت اطلاعات در استاندارد) را مشخص می کند. ISMS یک چارچوب مدیریتی جامع است که از طریق آن سازمان شناسایی، تحلیل خطرات و ریسک های اطلاعاتی خود را شناسایی می نماید.اخذ گواهینامه ایزو ISMS تضمین می کند که ترتیبات امنیتی دقیقی تنظیم شود که با تغییرات در تهدیدات امنیتی، آسیب پذیری ها و تاثیرات تجاری که بخشی مهم و مزیتی کلیدی و مبتنی بر ریسک انحصاری هست اجرایی گردد.


این استاندارد تمامی انواع سازمان ها مانند شرکت های تجاری، سازمان های دولتی و حتی غیر سود آوری و با هر اندازه از شرکت های کوچک به شرکت های بزرگ چند ملیتی و تمام صنایع یا بازارها مانند خرده فروشی، بانکی، دفاع، مراقبت های بهداشتی، آموزش و دولت را شامل می شود.


با اخذ گواهینامه ایزو IEC 27001 به طور رسمی دستورالعمل هایی عمومی جهت کنترل اطلاعات را نمی دهد به این دلیل که این دستورالعمل ها برای هر سازمانی متفاوت هستند.دستورالعمل های کنترل امنیت اطلاعات از استاندارد ISO / IEC 27002 در ضمیمه A به ISO / IEC 27001 تغییر پیدا کرده است. سازمان های اجرا کننده سیستم ISO / IEC 27001 می توانند هر کدام از دستورالعمل های ذکر شده در این استاندارد را برای کنترل خطرات خاص و احتمالی اطلاعات سازمان خود اعمال کنند. علاوه بر کنترل خطرات احتمالی اطلاعات هر سازمان، مدیریت مجموعه ها ممکن است تصمیم بگیرند که از ایجاد خطرهای احتمالی مربوط به اطلاعات سازمان پیشگیری نماید نه اینکه فقط از سیاست کنترل خطرهای احتمالی استفاده نمایند. تصمیم گیری در مورد ریسک پذیری فرآیندها و مدیریت ریسک در سازمان در این استاندارد و پس از اخذ گواهینامه ایزو 27001 گنجانده شده است.


تاریخچه ایزو 27001

استاندارد ISO / IEC 27001 از استاندارد BS 7799 Part2 مشتق شده است که برای اولین بار در سال 1999 منتشر شد.BS 7799 part 2 توسط BSI در سال 2002 تجدید نظر شده است و به صراحت شامل پروسه برنامه، انجام، چک و قانون هست.BS 7799 part 2 به عنوان ISO / IEC 27001 در سال 2005 به تصویب رسید. این استاندارد در سال 2013 به طور گسترده مورد بازنگری قرار گرفت و آن را با سایر استاندارد های سیستم مدیریت صدور ایزو مطابقت داده شد.

اخذ گواهینامه ایزو 27001


ساختار استاندارد ISO / IEC 27001: 2013 دارای بخش های زیر است:

1. مقدمه : استاندارد از رویکرد فرآیند استفاده می کند.

2. دامنه : که شامل مشخصه های عمومی ISMS مناسب برای سازمان ها با هر نوع فعالیت، اندازه و یا ماهیتی است.

3. نکته های استاندارد : برای درخواست کنندگان اخذ گواهینامه ایزو 27001 رعایت الزامات استاندارد ایزو ISO / IEC 27000 کاملا ضروری است و اخذ ایزو ISO27k بطور اختیاری اجرایی می گردد.

4. شرایط و تعاریف : این استاندارد دارای شرایط و تعاریفی است که در سازمان هایی که استاندارد ایزو 27000 را اجرایی کردند، جایگزین شده است.

5. زمینه سازمانی : درک ساختار سازمان، نیاز ها ، انتظارات و تعریف محدوده ISMS در بخش 4.4 متن این استادارد به وضوح بیان شده است که اعلام می کند سازمان باید یک سیستم ISMS سازگار را ایجاد، پیاده سازی، حفظ نماید و به طور مستمر بهبود بخشد.

6. رهبری : مدیریت ارشد در هر سازمانی می بایست رهبری و تعهد به ISMS را بر عهده گیرد و سیاست های ماموریت و تخصیص مسئولیت بخش های مختلف سازمان را برای پیشبرد اهداف سازمان مطابق با ISMS مشخص نماید.

7. برنامه ریزی : روند تشریح، شناسایی، تجزیه و تحلیل و برنامه ریزی برای درمان خطرات اطلاعات و اهداف امنیت اطلاعات را مشخص می کند.

8. پشتیبانی: می بایست منابع کافی و شایسته جهت آگاه سازی و مستند سازی اطلاعات سازمان تهیه و کنترل شود.

9. عملیات : جزئیات کمی در مورد ارزیابی و ریسک خطرات ، مدیریت تغییرات و مستند سازی اطلاعات سازمان ها وجود دارد تا حدی که توسط حسابرسان صدور گواهینامه ایزو مورد ارزیابی قرار گیرند.

10. ارزیابی عملکرد : نظارت، اندازه گیری، تجزیه و تحلیل و ارزیابی - ممیزی - بررسی کنترل های امنیتی اطلاعات، فرایندها و سیستم مدیریت به منظور بهبود سیستماتیک در صورت لزوم را شامل می شود.

11. بهبود: این مرحله شامل دسترسی به یافته های حسابرسی و بررسی عدم انطباق ها و اقدامات اصلاحی می باشد. این اقدامات اصلاحی تا جایی پیش می رود که سازمان به استاندارد ISMS دسترسی پیدا کند.


در متن اخذ گواهینامه ایزو IEC 27001 ، استاندارد ایزو IEC 27000 به عنوان یک استاندارد ضروری گنجانده شده است و در چندین مورد برای کسب اطلاعات بیشتر ارجاع به استاندارد ISO 31000 در مورد مدیریت ریسک نیز وجود دارد.


الزامات اجباری برای صدور گواهینامه ایزو IEC 27001 :

این استاندارد یک استاندارد رسمی برای ISMS با دو هدف متمایز است:

هدف اول: در یک سطح نسبتا بالا، یک سازمان می تواند برای انجام یک سیستم ISMS اقدام کند.

هدف دوم: می تواند (به صورت اختیاری) به عنوان مبنایی برای ارزیابی تطابق رسمی توسط حسابرسان اخذ گواهینامه ایزو معتبر به منظور صدور گواهینامه برای یک سازمان استفاده شود.


مستندات اجباری زیر به صراحت برای صدور گواهینامه ایزو 27001 مورد نیاز است:

1. محدوده ISMS (به عنوان بند 4.3)

2. سیاست امنیتی اطلاعات (بند 5.2)

3. فرایند ارزیابی خطر اطلاعات (بند 6.1.2)

4. روند پردازش ریسک اطلاعات (بند 6.1.3)

5. اهداف امنیت اطلاعات (بند 6.2)

6. گواهی صلاحیت افراد کار در امنیت اطلاعات (بند 7.2)

7. سایر اسناد مرتبط با ISMS که توسط سازمان مورد نیاز است (بند 7.5.1 ب)

8. اسناد برنامه ریزی عملیاتی و کنترل (بند 8.1)

9. نتایج ارزیابی ریسک (بند 8.2)

10. تصمیم گیری در مورد درمان ریسک (بند 8.3)

11. مدارک نظارت و اندازه گیری امنیت اطلاعات (بند 9.1)

12. برنامه حسابرسی داخلی و نتایج حسابرسی اجرا شده (بند 9.2)

13. شواهد ارزیابی مدیریت ارشد ISMS (بند 9.3)

14. شواهد عدم انطباق شناسایی شده و اقدامات اصلاحی ناشی از آن (بند 10.1)

گواهینامه ایزو 27001


سازمان ها می توانند ISMS خود را به طور وسیع یا به همان اندازه محدود کنند که می خواهند - در حقیقت، تصمیم گیری مهم برای مدیریت ارشد است . دامنه ISMS مستند شده یکی از الزامات اجباری برای صدور گواهینامه ایزو 27001 است.مطابقت گواهینامه ISO / IEC 27001 با یک گواهینامه ایزو معتبر و قابل اعتماد، به طور کامل اختیاری است ، اما به طور فزاینده ای از تامین کنندگان و شرکای تجاری از سازمان هایی نگران امنیت اطلاعات خود و امنیت اطلاعات در سراسر زنجیره عرضه و یا شبکه هستند .


طبق بررس انجام شده در سال 2016، بیش از 33000 گواهینامه ISO / IEC 27001 در سراسر جهان وجود دارد، هر سال حدود 20 درصد افزایش یافته است.


این گواهینامه پتانسیل بازاریابی دارد و نشان می دهد که سازمان به طور جدی امنیت اطلاعات را مدیریت می کند. با این حال ، ارزش اطمینان اخذ گواهینامه ایزو 27001 بسیار وابسته به دامنه ISMS است و به عبارت دیگر، ایمنی بیش از حد در گواهی سازمانی ISO / IEC 27001 سازمان وجود ندارد.


وضعیت استاندارد

ISO / IEC 27001 در سپتامبر 2013 به طور کامل بازنویسی و مجددا صادر شد.از آنجا که ISO / IEC JTC1 اصرار بر تغییرات قابل توجهی برای اصلاح این استاندارد با سایر استانداردهای سیستم های مدیریتی که شامل تضمین کیفیت، حفاظت از محیط زیست و غیره دارد.ایده این است که مدیرانی که با هر یک از سیستم های مدیریت ایزو آشنا هستند، اصول پایه ای ISMS را درک خواهند کرد.


مفاهیمی مانند صدور گواهینامه، سیاست، عدم انطباق، کنترل اسناد، ممیزی داخلی و بررسی مدیریت برای همه استانداردهای سیستم های مدیریتی رایج هستند و در واقع این فرایند ها می توانند به شدت در سازمان استاندارد سازی شوند.


درباره ISO/IEC 27001

ISO / IEC 27001 یک چارچوب عالی است که به سازمان ها کمک می کند تا دارایی های اطلاعاتی خود را مدیریت کنند و محافظت نمایند تا امنیت آن ها حفظ شود.


مراحل اخذ گواهینامه ایزو ISO / IEC 27001:

1. معرفی ISO / IEC 27001

2. مدیریت ایمنی اطلاعات ISO / IEC 27001 چیست و چگونه برای کسب و کار مناسب است

3. پیاده سازی ISO / IEC 27001

4. کشف بهترین راه برای پیاده سازی یک سیستم مدیریت ایزو ISO/ IEC 27001

5. اخذ گواهینامه ایزو ISO / IEC 27001


گواهینامه OHSAS 18001

استاندارد 18001 استانداردي است كه ما را ملزم به رعايت نكات ايمني و بهداشتي مي نمايد. آمادگي جسماني كاركنان، رعايت نكات ايمني و تجهيزات ايمني در محيط كار، آمادگي در شرايط اضطراري از قبيل سيل و زلزله و بررسي ميزان و شدت و احتمال خطرات، مي كند. براي كاهش خطرات و افزايش آگاهي كاركنان نسبت به نحوه شناسايي خطرات و محاسبه ريسك آنها دستورالعمل هايي تدوين مي گردد. رعايت استانداردهاي ايمني حافظ جان كاركنان، سلامتي آنان و حفظ اموال و دارايي هاي يك سازمان است و رعايت اين استاندارد در ايجاد يك سازمان امن و عاري از خطر، ما را ياري مي كند.سري ارزيابي ايمني بهداشت شغلي استانداردي قابل مميزي و اخذ گواهينامه مي باشد،در پاسخ به نياز سازمانها به يك استاندارد سيستم مديريت ايمني و بهداشت شغلي كه بوسيله آن بتوانند سيستم مديريت خود را در زمينه هاي بهداشتي وايمني ارزيابي نمايند، تدوين شده است.

اخذ ایزو 15189

هدف از تدوین ایزو15189، تعیین الزامات خاص برای کیفیت و احراز صلاحیت در آزمایشگاه های پزشکی می باشد.ایزو 15189 توسط آزمایشگاه های پزشکی برای ایجاد و تکوین سیستم مدیریت کیفیت و ارزیابی صلاحیت خود کاربرد دارد.

شرایط تعلیق و ابطال گواهینامه ایزو

تعلیق گواهینامه ایزو ، ابطال گواهینامه و یا کاهش دامنه گواهینامه باید یک خط مشی و رویه ای برای تعلیق و ابطال و کاهش دامنه گواهینامه های ایزو و استانداردها وجود داشته باشد. سازمان گواهی کننده باید در موارد زیر گواهینامه را تعلیق کند:

گواهینامه ایزو 45001

از نکات مهمی که می بایست برای میسر سازی نکات بهداشتی و بالا بردن ایمنی در مشاغل به آن توجه نمود ، رعایت دستورالعمل هایی است که با اخذ گواهینامه ایزو 45001 حاصل می شود.این گواهینامه بر اساس سازمان جهانی استانداردسازی یا همان ایزو تهیه و تدوین شده است و دارای ملزومات و مقررات خاصی می باشد.بنابراین واحد های صنعتی و صنایع به منظور کاهش حوادث و بالا بردن ایمنی ملزم به اخذ ایزو 45001 می باشند.

درباره گواهینامه های ایزو

ایزو یک سازمان بین المللی مستقل و غیر دولتی است که دارای 162 سازمان استاندارد ملی است. دبیرخانه مرکزی این سازمان در ژنو سوئیس می باشد و کشور ایران نیز یکی از اعضای این سازمان می باشد. در حقیقت کلمه ISO مخفف عبارت International Organization for Standardization می باشد که به معنای سازمان بین المللی استاندارد سازی می باشد.اخذ گواهینامه ایزو یکی از

اخذ گواهینامه HSE

HSE مخفف عبارت Health Safety Environment می باشد که به فارسی به معنای بهداشت ، ایمنی و محیط زیست است. گواهینامه ایزو HSE اصولی را تعریف می کند که با انجام و اجرای آن ها، فعالیت سازمان ها در سراسر جهان با توجه به رعایت دستورالعمل های بهداشت و ایمنی و زیست محیط انجام می پذیرد. اخذ گواهینامه ایزو HSE ، نظامی برای مدیریت ساختار سازمانی، سیاست، قوانین و مقررات و نهایتا رویه هایی برای تغییر عملکرد سلامت، ایمنی و کاهش یا رفع خطرات برای دستیابی به سیاست های هدف سازمان است.