استاندارد ISO 27001 چیست؟, چرا مهم است و شرایط دریافت
استاندارد ISO 27001 چارچوبی را برای پیاده سازی ISMS فراهم می کند و از دارایی های اطلاعاتی شما محافظت می کند و در عین حال مدیریت، اندازه گیری و بهبود فرآیند را آسان تر می کند.
استاندارد ایزو 27001 به شما کمک می کند سه بعد امنیت اطلاعات را بررسی کنید:
- محرمانه بودن،
- صداقت و
- در دسترس بودن.
استاندارد ایزو 27001 همچنین الزاماتی را برای اجرای کنترل های امنیتی متناسب با نیازهای سازمان ها از طریق ایجاد، پیاده سازی، بهره برداری، نظارت، بررسی، نگهداری و بهبود سیستم مدیریت امنیت اطلاعات (ISMS) مشخص میکند. تیم فنی شرکت ایران گواه از طریق این مقاله به الزامات استاندارد ISO/IEC 27001:2021 و روش های اجرا همینطور اخذ گواهینامه ایزو 27001 می پردازد. با ما تا انتهای مقاله همراه شوید.
- ISO 27001 چیست؟
- تاریخچه استاندارد ایزو 27001
- اصول استاندارد ISO 27001
- مدیریت امنیت اطلاعات ISO 27001 چیست؟
- ISMS چیست؟
- چرا ایزو 27001 مهم است؟
- مزایای اجرا و پیاده سازی ایزو 27001 برای شرکت ها چیست؟
- مزایای اخذ گواهینامه ایزو 27001 چیست؟
- مدارک مورد نیاز جهت دریافت گواهینامه ایزو 27001 چیست؟
- مراحل دریافت گواهینامه ISO 27001 چگونه است؟
- گواهینامه ایزو 27001 را از کجا دریافت کنید؟
- هزینه اخذ گواهینامه ایزو سیستم مدیریت امنیت اطلاعات چقدر است؟
- نحوه استعلام گواهینامه ایزو 27001 چگونه است؟
- مرجع صدور گواهینامه ایزو 27001 کیست؟
در مورد متن فارسی استاندارد ایزو 27001 آخرین ویرایش بیشتر بخوانید.
ISO 27001 چیست؟
ISO 27001 یک استاندارد بین المللی برای پیاده سازی یک سیستم مدیریت امنیت اطلاعات در سطح سازمانی (ISMS)، یک رویکرد سازمان یافته برای حفظ محرمانه بودن، یکپارچگی و در دسترس بودن (CIA) در یک سازمان است.
اخذ گواهینامه ایزو 27001 یک چارچوب عالی برای مطابقت با الزامات استاندارد ایزو 27001 برای محافظت از دارایی های اطلاعاتی در برابر عوامل مخرب و یک عامل متمایز کننده برای برتری یک سازمان نسبت به رقبای خود ارائه می دهد. ISO/IEC 27001 استاندارد جهانی الزامات اجرایی کاملی در مورد ساخت، اجرا، نگهداری و بهبود مستمر ISMS ارائه می دهد. طراحی و اجرای ISMS یک سازمان تحت تأثیر نیازها و اهداف، الزامات امنیتی، فرآیندهای به کار گرفته شده و اندازه و ساختار سازمان است.
استاندارد ایزو 27001 نباید با ISO 27002 اشتباه گرفته شود. استاندارد ایزو 27001 استاندارد اصلی است که متقاضیان می توانند اقدام به اخذ گواهینامه نمایند، در حالی که ایزو 27002 استاندارد پشتیبانی است که دستورالعمل هایی را در مورد اجرای کنترل های امنیتی ارائه می دهد. مهمترین تفاوت بین ایزو 27001 و ایزو 27002 این است که ISO 27002 برای صدور گواهینامه ISO 27001 اجباری نیست و یک شرکت نمی تواند گواهینامه ISO 27002 را دریافت کند.
برای کسب اطلاع از امنیت سایبری در خدمات مالی بیشتر بدانید.
تاریخچه استاندارد ایزو 27001
اولین نسخه استاندارد ایزو 27001 در سال 1999 توسط موسسه استاندارد بریتانیا با نام BS 7799-2 منتشر شد و از آن زمان تاکنون تغییرات زیادی را پشت سر گذاشته است.
استاندارد ایزو 27001 به عنوان اولین استاندارد از سری استانداردهای ISO 27000 برای امنیت اطلاعات یا امنیت سایبری منتشر شد. برای اولین بار در اکتبر 2005 منتشر شد و در اکتبر 2013 برای سازگاری بهتر با چالش های در حال تغییر امنیت اطلاعات تجدید نظر شد. آخرین ویرایش ISO/IEC 27001 مربوط به سال 2022 میلادی است که گواهینامه ایزو 27001 توسط نهادهای صادرکننده گواهینامه ایزو با ویرایش 2022 میلادی صادر می شود.
اصول استاندارد ISO 27001
ISO 27001 نحوه مدیریت امنیت اطلاعات را از طریق یک سری مدیریت امنیت اطلاعات تعریف می کند. استاندارد ایزو 27001 مبتنی بر روش Plan-Do-Check-Act است که باید به طور مداوم به منظور به حداقل رساندن خطرات برای محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات اجرا شود. مراحل به شرح زیر است:
طرح (Plan): در خدمت برنامه ریزی سازمان اساسی امنیت اطلاعات، تعیین اهداف برای امنیت اطلاعات و انتخاب کنترل های امنیتی مناسب است.
انجام (Do): فرآیندهای برنامه ریزی شده را اجرا کنید.
بررسی کنید (Check): نظارت بر عملکرد ISMS و اندازه گیری اینکه آیا نتایج با اهداف تعیین شده مطابقت دارد یا خیر.
اقدام (Act): برای بهبود مستمر اثربخشی در مورد مواردی که در مرحله قبلی به عنوان ناسازگار شناخته شده بودند، اقدام کنید.
مدیریت امنیت اطلاعات ISO 27001 چیست؟
ISO/IEC 27001 استاندارد بین المللی امنیت اطلاعات است. این مشخصات یک ISMS (سیستم مدیریت امنیت اطلاعات) موثر را تعیین می کند. رویکرد بهترین عمل استاندارد ISO 27001 به سازمان ها کمک می کند تا امنیت اطلاعات خود را با توجه به افراد، فرآیندها و فناوری مدیریت کنند. اخذ گواهینامه ایزو 27001 در سراسر جهان به رسمیت شناخته شده است تا نشان دهد که ISMS شما با بهترین شیوه های امنیت اطلاعات هماهنگ است.
ISMS چیست؟
ISMS مخفف “information security management system” یعنی سیستم مدیریت امنیت اطلاعات است. سیستم مدیریت امنیت اطلاعات (ISMS) رویکردی برای حفظ امنیت اطلاعات یک سازمان است. مجموعه ای از مقررات است که باید اجرا شود تا:
- مشخص کنید که ذینفعان شما چه کسانی هستند و از نظر امنیت اطلاعات چه انتظاراتی از سازمان دارند.
- مشخص کنید که کدام خطرات مربوط به اطلاعات وجود دارد.
- برای دستیابی به الزامات تعریف شده و مدیریت ریسک ها، کنترل ها (ایمنی ها) و سایر استراتژی های کاهش را توسعه دهید.
- اهداف روشنی را برای آنچه که باید از نظر امنیت اطلاعات انجام شود تعیین کنید.
- همه کنترل ها و سایر استراتژی های کاهش ریسک را در محل خود قرار دهید.
- اندازه گیری کنید که آیا کنترل های ایجاد شده طبق برنامه ریزی منظم انجام می شود یا خیر.
- بهبودهای مستمر را برای بهبود عملکرد کلی ISMS انجام دهید.
به طور کلی، یک سازمان می تواند از ISMS به روش های زیر بهره مند شود:
- برای رعایت الزامات قانونی.
- برای به دست آوردن برتری نسبت به رقبا.
- برای جلوگیری یا کاهش هزینه ها.
- برای دستیابی به ساختار سازمانی بهتر.
سازمان ها این گزینه را دارند که گواهینامه ISMS خود را بر اساس ISO 27001 دریافت کنند. در برخی صنایع، این گواهی برای تضمین قراردادهای بزرگ حیاتی است. دریافت گواهینامه ایزو 27001 می تواند اعتماد را افزایش دهد و فرصت های تجاری را بهبود ببخشد. استاندارد ISO 27001 به عنوان “استاندارد طلایی” در امنیت اطلاعات، به جنبه جدایی ناپذیر مدیریت فناوری اطلاعات، مدیریت ریسک و انطباق با GDPR بسیاری از سازمان ها تبدیل شده است.
یک ISMS یک رویکرد سیستماتیک برای ایمن کردن محرمانه بودن، یکپارچگی و در دسترس بودن (CIA) دارایی های اطلاعاتی شرکت دارد. ISMS شامل خط مشی ها، رویه ها و سایر کنترل هایی است که افراد، فرآیندها و فناوری را در بر میگیرد. ISMS روشی کارآمد برای ایمن نگه داشتن دارایی های اطلاعاتی است که بر اساس ارزیابی های منظم ریسک و رویکردهای خنثی از نظر فناوری و فروشنده است.
چرا ایزو 27001 مهم است؟
ایزو 27001 به منظور ارائه چارچوبی از سیاست ها، رویه ها و کنترل ها برای سازمان ها در هر اندازه و صنایع برای کاهش خطر نقض امنیت اطلاعات است. این خطرات شامل اما محدود به موارد زیر نیست:
- خطرات فیزیکی مانند آتش سوزی اتاق سرور.
- خطرات ناشی از کارمندان مانند سرقت عمدی داده یا خطاهای ناشی از آن.
- عدم آموزش و همچنین سهل انگاری.
- خطرات سیستم و فرآیند مانند نرم افزار قدیمی.
- تهدیدات ناشی از جرایم سایبری مانند حملات باج افزار.
مزایای اجرا و پیاده سازی ایزو 27001 برای شرکت ها چیست؟
استاندارد ایزو 27001 (ISMS) به سازمان اجازه می دهد تا خطرات را شناسایی و درمان کند. اما دریافت گواهینامه ایزو 27001 چگونه به سازمان شما کمک می کند؟ به طور کلی، اجرا و پیاده سازی الزامات استاندارد ISO 27001 به سازمان ها کمک می کند:
برای ذینفعان اعتماد سازی کنید
استاندارد ایزو 27001 یک سازمان را به اطلاعاتی که برای محافظت از اطلاعات ارزشمند با اعمال امنیت اطلاعات خوب نیاز دارند مجهز می کند. یک سازمان مطابق با الزامات استاندارد ISO 27001 به مشتریان، ذینفعان و سهامداران کلیدی خود اطمینان می دهد که اقدامات امنیتی لازم برای حفاظت از اطلاعات اجرا شده است.
از سازمان خود در برابر نقض داده ها محافظت می کند
استاندارد ISO 27001 خط مشی ها و مقرراتی را تعریف میکند که وقتی اجرا میشوند، برای محافظت از سازمان در برابر دسترسی غیرمجاز و از دست دادن نهایی داده ها کار میکنند. وجود این اقدامات خطر نقض داده ها و جریمه های قانونی را کاهش می دهد. این خط مشی ها فرآیندها را در سراسر حوزه ها هدایت میکنند و استاندارد ایزو 27001 مدیریت دقیق و مؤثر حوادث امنیت اطلاعات را در صورت نقض یا سازش تضمین میکند.
محافظت از اطلاعات شخصی پرسنل
با اجرای الزامات استاندارد ISO 27001 شما می توانید در مقابل کلیه تهدیدهای سایبری محافظت کنید. با دریافت گواهینامه ایزو 27001 (مدیریت امنیت اطلاعات) این فقط اطلاعات شرکت نیست که در مقابل تهدیدها در امان است بلکه اطلاعات شخصی پرسنل هم محافظت می شود.
ریسک های مربوط به امنیت اطلاعات را شناسایی کنید
اگرچه بسیاری از کسب وکارها از طرحی آماده برای پیاده سازی امنیت اطلاعات استقبال میکنند، اما استاندارد ایزو 27001 میتواند مبهم و انتزاعی باشد. این استاندارد برای کمک به سازمان ها در هر شکل و اندازه ای طراحی شده است. هدف دستیابی به “امنیت 100٪” نیست. درعوض، هر سازمانی باید ریسک های خود را ارزیابی کرده و با توجه به ریسک پذیری فردی خود، آنها را کاهش دهد.
اقدام اصلاحی و بررسی ریسک جزو موارد مهمی است که در متن تمامی استانداردها منجمله متن استاندارد ایزو 9001 به آن اشاره شده است.
مزایای اخذ گواهینامه ایزو 27001 چیست؟
سازمانی که اقدام به اخذ گواهینامه ISO 27001 می نماید، مزیت رقابتی برای خود ایجاد می کند. شرکت ها برای حضور در مناقصات دولتی، دریافت مجوز افتا و یا ارتقاء رتبه پیمانکاری نیاز به ارائه گواهینامه ایزو 27001 دارند. در زیر به چند مزیت دریافت گواهینامه ایزو 27001 اشاره شده است.
حضور در مناقصات: شرکا و کارفرمایان شما نیاز دارند بدانند موضوع امنیت اطلاعات در شرکت شما چگونه اجرایی شده است. بنابراین اجرای الزامات استاندارد ایزو 27001 و صدور گواهینامه ISO 27001 توسط یک مرجع معتبر می تواند به اعتماد سازی بین شما و کارفرما کمک کند.
دریافت گواهینامه افتا: متقاضیان برای دریافت مجوز افتا نیاز به ارائه گواهینامه ایزو 27001 دارند.
هزینه ها و شکایات را کاهش دهید: با پیاده سازی و دریافت گواهینامه ایزو 27001 کارفرمایان به دلایلی همانند افشای اطلاعات از شما شکایت نمی کنند. بنابراین هزینه شما، زمان شما و تعداد شکایات شما کاهش پیدا می کند.
مدارک مورد نیاز جهت دریافت گواهینامه ایزو 27001 چیست؟
لیست اطلاعات مستند برای صدور گواهینامه ISO 27001 طولانی است. با این حال، همه اسناد اجباری نیستند و حسابرس شما لزوماً نمی خواهد همه چیزهایی را که شما جمع آوری کرده اید بررسی کند.
اما چه تعداد الزامات اجباری برای ISO 27001 ویرایش 2022 مورد نیاز است؟
طبق فهرست اجمالی در جدول Annex A ایزو 27001 8 بند برای صدور گواهینامه ایزو 27001 الزامی است که شامل:
- پیاده سازی سیستم مدیریت امنیت (ISMS).
- ارزیابی ریسک انجام دهید.
- سیاست ها و رویه های امنیتی را توسعه دهید.
- اجرای کنترل ها برای کاهش خطرات شناسایی شده.
- نظارت و بررسی اثربخشی ISMS.
- سوابق ISMS را حفظ کنید.
- ISMS را به همه کارکنان منتقل کنید.
- آموزش کارکنان در ISMS.
مراحل دریافت گواهینامه ISO 27001 چگونه است؟
اولین قدم برای دریافت گواهینامه ایزو 27001 همراهی مدیران سازمان جهت پیاده سازی و اجرای الزامات استاندارد ایزو 27001 است. ایجاد خط مشی های امنیت اطلاعات، چارت سازمانی، بررسی نقش ها و مسئولیت ها و مستندات مربوط به اجرای الزامات استاندارد ایزو 27001 را مستند کنید. ممیزی داخلی یا حسابرسی داخلی خود را توسط یک شرکت مشاور ایزو انجام دهید و گزارشات و مستندات مربوط به اقدام اصلاحی و ممیزی داخلی را حفظ کنید. حسابرسان شرکت ایران گواه می توانند جهت حسابرسی داخلی به شما کمک کنند.
پس از حسابرسی داخلی یک شرکت یا مرجع صدور گواهینامه ایزو معتبر را شناسایی کنید. گواهینامه ایزو 27001 باید توسط یک مرجع معتبر صادر شود. بنابراین برای انتخاب یک مرجع معتبر صدور ایزو می توانید از مشاوره شرکت ما بهره مند شوید. با مرجع صدور انتخاب شده ارتباط بگیرید و آمادگی خود را جهت ممیزی و صدور گواهینامه ایزو 27001 اعلام کنید. پس از حسابرسی مرجع صدور، گواهینامه ISO 27001 شما صادر می شود.
گواهینامه ایزو 27001 را از کجا دریافت کنید؟
شرکت ها یا نهادهای بیشماری درخواست کننده گواهینامه ISO/IEC 27001:2022 هستند. آنها اهداف متغیری جهت صدور گواهینامه ایزو دارند. ممکن است شما به گواهینامه ایزو 27001 معتبر نیاز داشته باشید یا اینکه صرفاً جهت ورود به مناقصات داخلی نیاز به دریافت گواهینامه ایزو 27001 دارید. اعتبار اینها با هم متفاوت است.
چنانچه به گواهینامه ایزو 27001 معتبر نیاز دارید باید توسط CB هایی که تحت اعتبار انجمن IAF هستند اقدام به دریافت گواهی کنید. اما شرکت های بیشماری تحت عنوان ASCB، گواهینامه ایزو کانادایی، گواهینامه ایزو آلمانی یا انگلیسی به صورت خصوصی در ایران ثبت شده و گواهینامه ایزو سیستم مدیریت امنیت اطلاعات را صادر می کنند.
توجه کنید، به طور کلی هر مرجع یا نام شرکتی که توسط انجمن اعتباربخشی بین المللی IAF تایید و اعتبارسنجی نشود با هر نام و نشانی که گواهینامه ایزو را صادر کند فیک و غیر قابل اعتماد می باشد، هرچند که گواهینامه استعلام می شود. برای انتخاب مرجع صدور ایزو 27001 بهتر است از یک شرکت مشاور ایزو کمک بخواهید.
ایران گواه مرجع صدور ایزو نیست بلکه ما مشاور و اجرا کننده الزامات استاندارد ایزو هستیم که خدمات مشاوره و اخذ گواهینامه ایزو ما برای شرکت های متقاضی توسط نظام تایید صلاحیت ایران (مرکز ملی تایید صلاحیت ایران) تایید شده است. ما اولین شرکتی هستیم که توسط NACI موفق شدیم الزامات سیستم مدیریت کیفیت و رضایتمندی مشتری را پاس کنیم. و اولین شرکتی هستیم که برای اخذ گواهینامه ایزو و مشاوره جهت پیاده سازی الزامات استاندارد ایزو توسط NACI ایران تایید شده ایم.
بنابراین متقاضیان برای دریافت ایزو از مشاوره رایگان ما جهت انتخاب مرجع صدور گواهینامه ایزو بهره مند شوند.
هزینه اخذ گواهینامه ایزو سیستم مدیریت امنیت اطلاعات چقدر است؟
هزینه اخذ گواهینامه ایزو 27001 با توجه به نوع فعالیت شرکت ها، تعداد سایت های فعال، بزرگی یا کوچکی سازمان، تعداد پرسنل و اعتبار مرجع صادرکننده ایزو متفاوت است. شما نمی توانید داخل ایران یک هزینه واحد برای اخذ گواهینامه ایزو 27001 پیدا کنید. عموماً با هر شرکتی که وارد مذاکره می شوید، اعلام می گردد گواهینامه ایزو معتبر صادر می شود و هر یک از این شرکت ها هزینه متفاوتی برای صدور گواهینامه ایزو 27001 مطالبه می کنند.
تفاوت قیمت بایت دریافت گواهینامه ایزو 27001 بستگی به موارد اعلام شده در بالا دارد. اما به طور کلی چنانچه مرجع صادر کننده ایزو تحت اعتبار IAF باشد و شما یک CB معتبر جهت صدور ایزو را انتخاب کرده باشید با خود را آماده هزینه ای حدود 300 تا 400 دلار کنید.
ممکن است مرجع صدور ایزو شما خصوصی باشد و تحت اعتبار IAF نباشد، بنابراین انتظار هزینه بالا برای صدور گواهینامه ایزو 27001 را نداشته باشید. شما می توانید با یک میلیون تومان یک گواهینامه ایزو 27001 قابل استعلام و معتبر برای حضور در مناقصه از مراجع صادرکننده ایزو خصوصی دریافت کنید.
توجه کنید که مراجع خصوصی صادرکننده ایزو یک نهاد رسمی و معتبر برای صدور ایزو نیستند بلکه آنها ساخته پرداخته ایرانی ها هستند که گواهینامه صادرشده توسط آنها هم قابل استعلام است و هم اینکه برای مناقصات قابل تایید باشد.
برای استعلام هزینه اخذ گواهینامه ایزو 27001 شما می توانید با ما در ارتباط باشید.
نحوه استعلام گواهینامه ایزو 27001 چگونه است؟
سایت استعلام گواهینامه ایزو چالش بسیاری از متقاضیان است. ساده ترین پاسخ به سوال سایت استعلام و نحوه استعلام گواهینامه ایزو به این صورت است که، تمامی مراجع صادرکننده ایزو یک سایت به زبان انگلیسی یا چند زبانه دارند که روی گواهینامه ایزو دریافت شده درج شده است. متقاضیان برای استعلام گواهینامه ایزو باید وارد سایت درج شده روی گواهینامه شوند و کد رجیستری نامبر را در قسمت جستجو وارد و سرچ کنند.
سایت استعلام گواهینامه ایزو را می توانید از شرکت صادرکننده گواهینامه ایزو دریافت کنید یا روی گواهینامه شما باید درج شده باشد.
یک روش ساده تر برای استعلام گواهینامه ایزو 27001 اینکه ممکن است گواهینامه ایزو شما دارای QR code باشد. شما می توانید با اسکن QRcode به راحتی گواهینامه ایزو سیستم مدیریت امنیت اطلاعات صادر شده را استعلام بگیرید. اما اگر گواهینامه ایزو شما توسط یک مرجع معتبر تحت اعتبار IAF صادر شده باشد، شما می توانید گواهینامه ایزو و نام شرکت خود را از طریق سایت IAFcertsearch هم استعلام بگیرید.
مرجع صدور گواهینامه ایزو 27001 کیست؟
به طور کلی مرجع صدور گواهینامه ایزو اختصاراً CB نامیده می شود. مرجع صدور ایزو باید توسط سازمان اعتباردهنده کشور خودش یا AB داخلی کشور خودش تایید شده باشد. پس یک CB معتبر باید توسط یک AB معتبر تایید شده باشد. اما ممکن است بپرسید AB های معتبر یا همان سازمان اعتباردهنده معتبر هر کشور را چگونه شناسایی کنیم؟
سازمان ISO انجمن اعتباربخشی بین المللی IAF را معرفی می کند. بنابراین AB های معتبر توسط انجمن IAF مشخص و تایید شده اند. مثلاً AB کشور ایران که توسط IAF تایید شده، مرکز ملی تایید صلاحیت (NACI) می باشد. حال اینکه مرکز ملی تایید صلاحیت گواهینامه ایزو 27001 را صادر نمی کند بلکه شرکت هایی را به عنوان CB معرفی می کند که صادر کننده این گواهی هستند.
ممکن است CB صادرکننده ایزو توسط یک AB معتبر تایید شده باشد و یا ممکن است مرجع صدور ایزو 27001 توسط AB معتبر صادر نشده باشد. بنابراین سطح اعتباری نهادهای صادرکننده گواهینامه ایزو از طریق AB معتبر کشور خودشان سنجیده می شود.
شما می توانید برای انتخاب مرجع صدور گواهینامه ایزو و اخذ این گواهی با ما در ارتباط باشید.
ISO 27001 چیست؟
ISO 27001 یک استاندارد بین المللی برای پیاده سازی یک سیستم مدیریت امنیت اطلاعات در سطح سازمانی (ISMS)، یک رویکرد سازمان یافته برای حفظ محرمانه بودن، یکپارچگی و در دسترس بودن (CIA) در یک سازمان است. اخذ گواهینامه ایزو 27001 یک چارچوب عالی برای مطابقت با الزامات استاندارد ایزو 27001 برای محافظت از دارایی های اطلاعاتی در برابر عوامل مخرب و یک عامل متمایز کننده برای برتری یک سازمان نسبت به رقبای خود ارائه می دهد.
مرجع صدور گواهینامه ایزو 27001 کیست؟
به طور کلی مرجع صدور گواهینامه ایزو اختصاراً CB نامیده می شود. مرجع صدور ایزو باید توسط سازمان اعتباردهنده کشور خودش یا AB داخلی کشور خودش تایید شده باشد. پس یک CB معتبر باید توسط یک AB معتبر تایید شده باشد. اما ممکن است بپرسید AB های معتبر یا همان سازمان اعتباردهنده معتبر هر کشور را چگونه شناسایی کنیم؟