ایزو 27006: استاندارد امنیت سایبری و حفاظت از حریم خصوصی

اگر متقاضی ISO/IEC 27001 هستی، احتمالاً اسم ISO/IEC 27006 را هم دیده‌ای و این سؤال پیش می‌آید که «این هم یک استاندارد برای گرفتن گواهی است؟» واقعیت این است که 27006 استانداردِ پیاده‌سازی برای سازمان‌ها نیست؛ این استاندارد برای نهادهای ممیزی و صدور گواهی (Certification Bodies) نوشته شده تا مشخص کند مرجعی که قرار است ISMS تو را ممیزی کند، از نظر صلاحیت ممیزان، بی‌طرفی، روش ممیزی و تصمیم‌گیری صدور باید چه الزامات سخت‌گیرانه‌ای را رعایت کند. نسخه جاری این استاندارد هم ISO/IEC 27006-1:2024 است (و نسخه 2015 کنار گذاشته شده)، و دانستن همین نکته ساده به تو کمک می‌کند در انتخاب مرجع صدور، مقایسه پیشنهادها و جلوگیری از مسیرهای «گواهی صوری»، تصمیم دقیق‌تر و قابل دفاع‌تری بگیری.

مطالعه پیشنهادی: ISO 27001 چیست؟ (راهنمای جامع)

اول تکلیف را روشن کنیم: ایزو 27006 استاندارد «سازمان‌ها» نیست

ISO/IEC 27006-1:2024 دقیقاً چه چیزی را استاندارد می‌کند؟

اگر تو یک سازمانِ متقاضی ISO/IEC 27001 هستی، 27006-1 قرار نیست به تو بگوید ISMS را چطور پیاده‌سازی کنی؛ کارِ 27001 و راهنماهای خانواده 27000 است. 27006-1 یک استاندارد «بالادستی» برای نهادهای ممیزی و صدور گواهی است (Certification Body / CAB)؛ یعنی همان مرجعی که می‌آید سازمان تو را ممیزی می‌کند و در نهایت درباره صدور/عدم صدور گواهی تصمیم می‌گیرد.

نکته کلیدی اینجاست: 27006-1 می‌گوید آن مرجع صدور، برای اینکه ممیزی و صدور گواهی 27001 را با صلاحیت، سازگار و بی‌طرف انجام دهد، چه «الزامات اضافی» باید داشته باشد؛ از جمله چارچوب‌هایی برای اطمینان از competence ممیزان، اجرای درست فرایند ممیزی و کنترل بی‌طرفی. این استاندارد عملاً نقش «کیفیت‌سنج و صلاحیت‌سنجِ CB» را دارد، نه راهنمای اجرایی سازمان‌ها.

برای شفافیت: نسخه جاری همین موضوع، ISO/IEC 27006-1:2024 است و نسخه 2015 در سایت ISO با وضعیت Withdrawn آمده است.

فرق ISO/IEC 27006 با ISO/IEC 27001 و ISO/IEC 17021-1

برای اینکه اشتباه رایج پیش نیاید، این سه تا را مثل سه لایه ببین:

ISO/IEC 27001 استانداردی است که «توِ سازمان» اجرا می‌کنی؛ یعنی الزامات ISMS را مشخص می‌کند تا بتوانی امنیت اطلاعات را به‌صورت نظام‌مند مدیریت کنی و اگر خواستی، گواهی بگیری.

ISO/IEC 17021-1 استاندارد عمومیِ «نهادهای ممیزی و صدور» است؛ یعنی حداقل اصول و الزامات پایه را برای صلاحیت، سازگاری و بی‌طرفیِ CBها در همه سیستم‌های مدیریتی تعریف می‌کند.

ISO/IEC 27006-1 روی همان 17021-1 سوار می‌شود و آن را برای فضای گواهی ISMS دقیق‌تر می‌کند؛ یعنی «الزامات اختصاصی» برای CBهایی که 27001 را ممیزی و گواهی می‌کنند. خود ISO هم صریح می‌گوید 27006-1 مکمل 17021-1 است و برای کانتکست ISMS تنظیم شده است.

اگر متقاضی 27001 هستی، چرا باید 27006 را بشناسی؟

از نگاه ما (به‌عنوان مشاور/راهنما)، شناخت 27006 یک مزیت رقابتی برای توست چون کمک می‌کند «مسیر صدور گواهی» را درست انتخاب کنی؛ نه صرفاً ارزان‌ترین یا سریع‌ترین گزینه را.

وقتی بدانی 27006-1 روی چه چیزهایی حساس است، در مذاکره با مرجع صدور هم دقیق‌تر عمل می‌کنی: می‌فهمی چرا کیفیت تیم ممیزی، روش برنامه‌ریزی ممیزی، سطح شواهدی که می‌خواهند، و سازوکار بی‌طرفی اهمیت دارد. این آگاهی معمولاً جلوی دو دردسر را می‌گیرد:

1. گواهی صوری که بعداً در مناقصه/ممیزی مشتری/ریسک اعتباری به مشکل می‌خوری،
2. ممیزی بی‌کیفیت که ظاهراً راحت است ولی ISMS تو را بالغ نمی‌کند و در مراقبتی‌ها یا رخدادهای واقعی تو را تنها می‌گذارد.

جمع‌بندی کاربردی‌اش برای تو این است: 27001 «کاری است که باید در سازمان انجام بدهی»، 27006-1 «معیارهایی است که باید از مرجع صدور انتظار داشته باشی».

به‌روزرسانی مهم: 27006:2015 کنار گذاشته شده و 27006-1:2024 نسخه جاری است

وضعیت نسخه‌ها و نام‌گذاری جدید (27006-1:2024 یعنی «Part 1: General»)

اگر صفحه را برای مخاطب «متقاضی ISO/IEC 27001» بازنویسی می‌کنی، همین‌جا باید شفاف بگویی که ISO/IEC 27006:2015 دیگر نسخه جاری نیست و در سایت ISO با وضعیت Withdrawn آمده و صراحتاً نوشته شده «نسخه جدید موجود است».

نسخه جاری، ISO/IEC 27006-1:2024 است و نام‌گذاری “Part 1: General” یعنی این سند «بخش اول» از یک ساختار چندبخشی است و در این بخش، الزامات عمومی/پایه برای نهادهایی را می‌گوید که ممیزی و صدور گواهی ISMS انجام می‌دهند. در توضیح خود استاندارد هم تأکید شده که 27006-1 مکمل ISO/IEC 17021-1 است و قواعد را برای فضای صدور گواهی ISMS «متناسب‌سازی» می‌کند تا صدور گواهی‌ها با صلاحیت، سازگار و بی‌طرف انجام شود.

نکته مهم برای متقاضی: «این تغییر نسخه» صرفاً یک تغییر اسمی نیست؛ یعنی از این به بعد وقتی می‌خواهی درباره اعتبار مسیر صدور گواهی صحبت کنی، مرجع درست برای ارزیابی CBها 27006-1:2024 است، نه 27006:2015.

مطالعه پیشنهادی: تشخیص اعتبار گواهینامه‌ ISO / استعلام گواهینامه ایزو

Timeline انتقال و اثرش روی ممیزی‌ها و قراردادها (مهلت‌های انتقال تا 31 مارس 2026)

طبق سند انتقال International Accreditation Forum (IAF) یعنی IAF MD 29:2024، ISO/IEC 27006-1:2024 در مارس 2024 منتشر شده و زمان‌بندی‌ها از 31 مارس 2024 محاسبه شده‌اند. مهم‌ترین تاریخ برای تو (به‌عنوان متقاضی ISO 27001) این است که انتقال باید حداکثر تا 31 مارس 2026 کامل شود.

در همین سند، چند پیام عملی برای بازار وجود دارد که روی قرارداد و برنامه ممیزی تو اثر می‌گذارد:

• نهادهای اعتباردهنده (ABها) باید نهایتاً تا 31 مارس 2026 انتقال همه CBها را کامل کرده باشند.
• و خود CBها هم باید نهایتاً تا 31 مارس 2026 استاندارد جدید را برای «همه مشتریان» به‌کار بگیرند (با یک سری ترتیبات گذار برای بعضی ممیزی‌های مراقبتی).

چطور این را در صفحه به زبان متقاضی تبدیل کنی؟ ساده و مستقیم:
اگر الان (با توجه به اینکه در تقویم نزدیک 31 مارس 2026 هستیم) داری CB انتخاب می‌کنی یا قرارداد تمدید/مراقبتی می‌بندی، بهتر است در قرارداد و مکاتباتت این دو چیز «شفاف» باشد:

1. CB برنامه انتقالش به 27006-1:2024 چیست و در چه تاریخی تحت 27006-1 ارزیابی/تأیید می‌شود؟
2. از چه تاریخی ممیزی‌های تو (به‌خصوص Recertification) بر مبنای 27006-1 انجام می‌شود؟

اگر سازمانی قبلاً 27001 گرفته باشد، چه چیزی برایش تغییر می‌کند؟

اگر قبلاً گواهی 27001 داری، معمولاً «خودِ گواهی فعلی» با یک تغییر نسخه ناگهان باطل نمی‌شود؛ اما چیزی که واقعاً تغییر می‌کند انتظارات از CB و سبک ممیزی در ممیزی‌های بعدی (Surveillance/Recertification) است.

طبق IAF MD 29 یک نکته گذار هم هست: برای مشتریانی که قبل از تاریخ انتقالِ اعتبار CB گواهی گرفته‌اند، CB می‌تواند در برخی ممیزی‌های مراقبتی بعد از انتقال، طبق شرایط گذار از یکی از دو نسخه استفاده کند؛ اما پیام اصلی این است که نهایتاً تا 31 مارس 2026 باید برای همه مشتریان به 27006-1 برسد.

ترجمه کاربردی این موضوع برای تو:

• اگر Recertification تو بعد از این تاریخ‌هاست، منطقی است انتظار داشته باشی ممیزی «از نظر صلاحیت تیم، رویکرد ممیزی و کنترل بی‌طرفی» استانداردتر و قابل دفاع‌تر باشد.
• ممکن است در عمل روی ترکیب تیم ممیزی، مدت ممیزی، و نوع شواهدی که درخواست می‌شود اثر بگذارد؛ نه از جنس سخت‌گیری بی‌دلیل، بلکه از جنس اینکه CB باید نشان بدهد «واقعاً با competence مناسب» دارد ISMS را ممیزی می‌کند.

از این به بعد، کیفیت گواهی ISO 27001 تو بیشتر از قبل به این بستگی دارد که CB واقعاً مطابق 27006-1:2024 ممیزی کند—پس تو هم در انتخاب CB و متن قرارداد، باید سؤال‌های درست را بپرسی و پاسخ قابل‌پیگیری بگیری.

27006 در عمل به تو چه کمکی می‌کند؟ معیارهای انتخاب مرجع صدور (CB) برای ISO 27001

اینجا نقطه‌ای است که ISO/IEC 27006-1 واقعاً برای تو «کاربردی» می‌شود. چون این استاندارد به زبان ساده می‌گوید مرجعی که قرار است ISMS تو را ممیزی و گواهی کند، باید از نظر صلاحیت، سازگاری و بی‌طرفی چه حداقل‌هایی را رعایت کند (در کنار ISO/IEC 17021-1). یعنی تو می‌توانی با همان منطق، CBها را «قابل دفاع» انتخاب کنی؛ نه صرفاً بر اساس قیمت یا وعده زمان کوتاه.

«CB معتبر» یعنی چه و از کجا بفهمیم؟

برای متقاضی ISO 27001، «معتبر» بودن CB یعنی گواهی‌ای که می‌گیری در بازار ارزش داشته باشد و فردا در مناقصه/ممیزی مشتری/ارزیابی شریک تجاری، به خاطر مرجع صدور زیر سؤال نرود. مهم‌ترین نشانه‌ی اعتبار معمولاً این است که CB توسط یک نهاد اعتباردهنده (AB) که عضو/امضاکننده توافق چندجانبه IAF MLA است، اعتباردهی شده باشد؛ چون IAF سازوکار به‌رسمیت‌شناسی متقابل را بین امضاکننده‌ها تعریف می‌کند.

دو اقدام خیلی عملی که معمولاً از همان ابتدا جلوی انتخاب اشتباه را می‌گیرد:

1. روی خود گواهی/پیشنهاد CB دنبال «نشان/نام AB» بگرد (یعنی مشخص باشد CB زیر نظر کدام AB اعتباردهی شده).
2. بعد، AB را در لیست IAF چک کن تا مطمئن شوی در اکوسیستم IAF (و به‌صورت ایده‌آل در MLA) شناخته‌شده است.

و برای اعتبارسنجی خود گواهی هم یک مسیر عمومی وجود دارد: IAF CertSearch به‌عنوان پایگاه جهانیِ جستجو/اعتبارسنجی گواهی‌های accredited معرفی می‌شود (البته همه CBها الزاماً در آن پوشش کامل ندارند و ممکن است نیاز باشد از دیتابیس AB یا خود CB هم استعلام بگیری).

مطالعه پیشنهادی: مرجع صدور گواهینامه ایزو در ایران (IAF و NACI)

10 سؤال کلیدی قبل از قرارداد با CB

این 10 سؤال را طوری طراحی کن که جوابشان «قابل‌پیگیری» باشد (یعنی سند/مدرک/اسم و تاریخ داشته باشد)، نه جواب‌های کلی و تبلیغاتی:

1. اعتباردهی شما زیر نظر کدام AB است و شماره/دامنه Accreditation شما برای ISO/IEC 27001 چیست؟
2. آیا ممیزی بر مبنای ISO/IEC 27006-1:2024 انجام می‌شود و وضعیت Transition شما چیست؟
3. تیم ممیزی چه کسانی هستند؟ Lead Auditor کیست و رزومه/سوابق مرتبط با صنعت ما چیست؟
4. برنامه ممیزی (Audit Plan) دقیقاً چند نفر-روز است و منطق تعیین مدت ممیزی چیست؟
5. Stage 1 دقیقاً چه خروجی می‌دهد و چه مدارکی قبلش می‌خواهید؟
6. Stage 2 را چگونه نمونه‌برداری (Sampling) می‌کنید؟ برای سایت‌ها/شیفت‌ها/فرآیندهای برون‌سپاری چه رویکردی دارید؟
7. Remote audit را در کدام بخش‌ها مجاز/منطقی می‌دانید و چه بخش‌هایی باید on-site باشد؟
8. روش برخورد با عدم‌انطباق‌ها چیست؟ Major/Minor را چگونه تعیین می‌کنید و زمان‌بندی بستن NCها چطور است؟
9. فرآیند تصمیم‌گیری صدور (Certification Decision) چگونه مستقل از تیم ممیزی تضمین می‌شود؟ (بی‌طرفی)
10. روش استعلام گواهی پس از صدور چیست؟ لینک/مکانیزم اعتبارسنجی را همین الان بدهید. (مثلاً دیتابیس خود CB یا IAF CertSearch/AB)

اگر CB از همین مرحله نتواند جواب شفاف و مستند بدهد، معمولاً در روز ممیزی هم کیفیت قابل دفاعی تولید نمی‌کند.

مطالعه پیشنهادی: چک‌لیست آمادگی برای ممیزی Stage 1/2

چک‌لیست بررسی صلاحیت ممیزان (Competence) و تجربه صنعت

در ISO/IEC 17021-1 محور «صلاحیت و بی‌طرفی» برای CB پایه است و 27006-1 آن را برای ISMS دقیق‌تر می‌کند؛ پس تو حق داری صلاحیت تیم ممیزی را «در حد مدرک» ببینی، نه صرفاً در حد ادعا.

برای اینکه ارزیابی‌ات عملی باشد، این‌ها را از CB بخواه (نه الزاماً همه را در قالب لیست؛ می‌تواند یک فایل رزومه/Competence matrix باشد):

• سابقه ممیزی ISMS واقعی (نه فقط دوره آموزشی): چند ممیزی 27001، در چه صنعت‌هایی، نقش ممیز (Lead/Member).
• آشنایی با فناوری‌های کلیدی سازمان تو: اگر Cloud/Outsourcing/DevOps/OT/پردازش داده حساس داری، ممیز باید زبانش را بفهمد.
• دانش ریسک و کنترل‌ها: ممیز باید بتواند بین Risk، SoA، کنترل‌ها و شواهد عملی اتصال منطقی ایجاد کند.
• توانایی مصاحبه و نمونه‌برداری: ممیزی خوب یعنی پیدا کردن شواهد قابل اتکا از دل عملیات، نه فقط خواندن چند سند.
• مدیریت تضاد منافع: اگر ممیز قبلاً مشاور تو بوده یا منافع دیگری دارد، ریسک بی‌طرفی ایجاد می‌شود (این همان جایی است که استانداردها روی impartiality حساس‌اند).

برنامه ممیزی استاندارد چه شکلی است؟

یک Audit Plan استاندارد فقط «تاریخ و ساعت» نیست؛ باید نشان بدهد CB واقعاً می‌داند قرار است چه چیزی را، با چه روشی و با چه سطح نمونه‌برداری بسنجد. چون 17021-1 اصول کلیِ فرایند ممیزی/صدور را می‌دهد و 27006-1 آن را برای ISMS تکمیل می‌کند.

در یک برنامه ممیزی قابل دفاع، معمولاً این اجزا را می‌بینی:

• Scope و مرزها (سایت‌ها، واحدها، سرویس‌های برون‌سپاری شده، اینترفیس‌ها).
• تقسیم زمان بین فرآیندها (مثلاً مدیریت ریسک، کنترل دسترسی، مدیریت رخداد، تامین‌کننده‌ها، پشتیبان‌گیری/BCP، پایش و بهبود).
• منطق Sampling: چرا این سایت/این تیم/این شیفت/این سرویس انتخاب شده.
• Remote/On-site: دقیقاً کدام فعالیت‌ها از راه دور و کدام حضوری، و دلیلش چیست.
• افراد کلیدی برای مصاحبه و شواهدی که باید آماده باشد (نه فقط “Documents”).

اگر برنامه ممیزی خیلی «مینیمال» و کلی باشد، معمولاً خروجی ممیزی هم کلی و کم‌ارزش می‌شود.

گزارش ممیزی خوب چه ویژگی‌هایی دارد؟

گزارش ممیزیِ خوب همان چیزی است که بعداً در برابر مشتری/نهاد بالادستی/ممیزی داخلی از تو دفاع می‌کند. گزارش خوب باید نشان بدهد ممیزی بر مبنای شواهد انجام شده و نتیجه‌گیری قابل ردیابی است.

مطالعه پیشنهادی: ممیزی داخلی طبق ISO 19011

نشانه‌های گزارش قابل دفاع:

• برای هر یافته مهم، شواهد مشخص دارد (نه جمله‌های عمومی).
• عدم‌انطباق‌ها دقیقاً به «چه الزام/چه کنترل/چه بخش» وصل‌اند و ریشه مسئله را قابل فهم می‌کنند.
• بین Risk assessment، SoA و شواهد اجرا یک خط منطقی می‌سازد (یعنی «کاغذ» را از «عملیات» جدا نمی‌کند).
• جمع‌بندی نهایی‌اش روشن است: چه چیزی پذیرفته شد، چه چیزی شرط صدور/ادامه است، و چرا.

این همان جایی است که تفاوت CB حرفه‌ای و CB صوری، برای خودت ملموس می‌شود.

نشانه‌های «صدور صوری» و ریسک‌های آن برای سازمان

اگر یک CB روی «گواهی سریع/تضمینی» مانور می‌دهد، یا زمان ممیزی را غیرواقعی کوتاه می‌کند، یا Stage 1 را بی‌اثر می‌کند، یا عملاً هیچ عدم‌انطباق معناداری تولید نمی‌شود، احتمالاً با مسیر صوری طرفی. این مسیر شاید امروز ساده به‌نظر برسد، ولی فردا هزینه‌اش چند برابر است: از رد شدن در مناقصه و ممیزی مشتری گرفته تا لطمه به اعتبار برند و حتی تصمیم‌های امنیتی غلط چون ISMS واقعاً بالغ نشده.

در عمل، بهترین دفاع تو این است که از همان ابتدا با سؤال‌های درست، CB را مجبور کنی «با سند» صحبت کند: اعتباردهی مشخص، تیم ممیزی مشخص، برنامه ممیزی قابل دفاع، و مسیر استعلام شفاف (مثل دیتابیس‌های رسمی/عمومی).

مسیر واقعی اخذ گواهی ISO 27001، با تمرکز روی نقاطی که کیفیت CB خودش را نشان می‌دهد

قبل از ممیزی: Scope، دارایی‌ها، ریسک، SoA (چک‌پوینت‌هایی که CB درست روی آن حساس است)

قبل از اینکه اصلاً وارد Stage 1 شوی، یک CB حرفه‌ای معمولاً دنبال «زیبایی مستندات» نیست؛ دنبال این است که آیا مسیر تو قابل ممیزی و قابل دفاع هست یا نه. یعنی Scope را طوری بسته‌ای که مرزها، سایت‌ها، سرویس‌های برون‌سپاری‌شده/کلود، و اینترفیس‌ها مشخص باشد و بعد بتوانی برایش شواهد بدهی. همین‌جا کیفیت CB معلوم می‌شود: CB خوب از همان ابتدا سؤالات دقیق می‌پرسد تا Scope بعداً در Stage 2 تبدیل به نقطه شکست نشود.

در همین مرحله، «ریسک» و «SoA» قلب ماجراست. SoA عملاً پل ارتباطی بین ارزیابی ریسک/درمان ریسک و کنترل‌هایی است که انتخاب کرده‌ای؛ یعنی باید نشان دهد چرا یک کنترل را پذیرفته‌ای/نپذیرفته‌ای و چطور به ریسک‌های واقعی سازمان وصل می‌شود. اگر این اتصال شفاف نباشد، حتی اگر 93 کنترل را هم ردیف کرده باشی، CB جدی از تو Evidence می‌خواهد که آن کنترل‌ها واقعاً در عملیات کار می‌کنند.

Stage 1 دقیقاً دنبال چیست و خروجی قابل قبولش چیست؟

Stage 1 مرحله‌ای است که CB باید «آمادگی سازمان برای Stage 2» را بسنجد و برای Stage 2 برنامه‌ریزی قابل اتکا بسازد. هدف اصلی‌اش طبق ISO/IEC 17021-1 این است که مستندات سیستم را مرور کند، شرایط سایت/سازمان و شناخت کلی از Scope را شکل بدهد، و تصمیم بگیرد آیا رفتن به Stage 2 منطقی است یا نه. این مرحله قرار نیست با چند سؤال کلی و یک چک‌لیست سطحی تمام شود؛ اگر CB حرفه‌ای باشد، Stage 1 برایش یک غربال واقعی است.

خروجی قابل قبول Stage 1 معمولاً یک گزارش و جمع‌بندی روشن است: «چه چیزهایی آماده است، چه چیزهایی ریسک Stage 2 محسوب می‌شود، برنامه Stage 2 چطور باید باشد، و آیا لازم است Stage 2 عقب بیفتد یا حتی بخشی از Stage 1 تکرار شود». خود 17021-1 صریحاً می‌گوید ممکن است CB مجبور شود ترتیبات Stage 2 را اصلاح کند یا Stage 2 را کنسل و Stage 1 را (کامل یا بخشی) تکرار کند.

Stage 2 چگونه ارزیابی می‌کند؟ (Evidence واقعی در عملیات، KPIها، Incident، Supplier/Cloud)

اگر Stage 1 یعنی «آیا سیستم قابل ممیزی هست؟»، Stage 2 یعنی «آیا سیستم واقعاً کار می‌کند؟». طبق ISO/IEC 17021-1 هدف Stage 2 ارزیابی پیاده‌سازی و اثربخشی سیستم است و معمولاً در سایت(های) سازمان انجام می‌شود؛ یعنی CB باید برود سراغ شواهد عملی، نه صرفاً فایل‌ها و سیاست‌ها.

اینجاست که کیفیت CB خودش را نشان می‌دهد. CB جدی از تو Evidence‌هایی می‌خواهد که به عملیات وصل باشد: نمونه‌های واقعی از مدیریت دسترسی، لاگ‌ها و مانیتورینگ، رسیدگی به رخدادها (Incident)، آزمون‌های بازیابی/پشتیبان‌گیری، کنترل‌های تامین‌کننده و سرویس‌های ابری (Shared responsibility)، و شاخص‌هایی که نشان دهد ISMS صرفاً «روی کاغذ» نیست. Stage 2 خوب معمولاً چند مصاحبه هدفمند + نمونه‌برداری هوشمند دارد و خروجی‌اش هم باید قابل دفاع باشد، نه عمومی و شعاری.

مطالعه پیشنهادی: تجزیه و تحلیل شکاف ISO 27001 چیست؟

تصمیم صدور گواهی چطور باید گرفته شود؟ (تفکیک تیم ممیزی از تصمیم‌گیری، بی‌طرفی)

اشتباه رایج این است که فکر کنیم «اگر ممیز گفت اوکی، پس گواهی صادر است». در یک فرایند استاندارد، تصمیم صدور باید روی تحلیل شواهد Stage 1 و Stage 2 و گزارش ممیزی انجام شود؛ یعنی یافته‌ها → نتیجه‌گیری ممیزی → تصمیم صدور یک زنجیره قابل ردیابی دارد.

اما بخش مهم‌تر برای تو: ISO/IEC 27006-1 دقیقاً برای همین «اعتماد به گواهی» آمده و تأکید می‌کند باید به competence و impartiality مرجع صدور اعتماد کرد؛ یعنی سازوکارهایی داشته باشد که تصمیم‌گیری، بی‌طرفانه و قابل دفاع انجام شود. منابع توضیحی درباره 27006-1 هم روشن می‌گویند این استاندارد الزامات استقلال/بی‌طرفی، صلاحیت نقش‌ها و حتی فرآیند تصمیم صدور را پوشش می‌دهد (در امتداد 17021-1). برای تو یعنی حق داری بپرسی تصمیم صدور دقیقاً با چه مکانیزمی گرفته می‌شود و چه کسی گزارش را بازبینی می‌کند.

ممیزی‌های مراقبتی و تمدید: چه چیزهایی معمولاً سازمان‌ها را غافلگیر می‌کند؟

چرخه گواهی معمولاً سه‌ساله است و طبق ISO/IEC 17021-1 برنامه ممیزی شامل «ممیزی اولیه دو مرحله‌ای»، سپس ممیزی‌های مراقبتی در سال اول و دوم بعد از تصمیم صدور، و «ممیزی تمدید/Recertification» در سال سوم قبل از انقضای گواهی است؛ و خود چرخه سه‌ساله از «تصمیم صدور» شروع می‌شود. این یعنی بعد از گرفتن گواهی، تازه بخش مهمِ ماجرا شروع می‌شود.

مطالعه پیشنهادی: چرخه سه‌ساله گواهینامه ایزو (Surveillance/Recertification)

غافلگیری‌های رایج معمولاً از تغییرات واقعی سازمان می‌آید، نه از استاندارد: Scope عملاً عوض شده ولی روی کاغذ همان قبلی مانده؛ سرویس ابری/تامین‌کننده تغییر کرده اما ارزیابی ریسک و کنترل‌ها به‌روز نشده؛ SoA آپدیت نشده؛ Evidenceها «استمراری» نیستند (مثلاً مانیتورینگ/Incident فقط نزدیک ممیزی فعال می‌شود)؛ یا ممیزی داخلی و بازنگری مدیریت تبدیل به کار صوری شده است. CB خوب این‌ها را در مراقبتی‌ها خیلی سریع تشخیص می‌دهد، چون هدف مراقبتی دقیقاً سنجش «پایداری انطباق» است، نه تکرار Stage 2 با شدت کمتر.

مطالعه پیشنهادی: پارامترهای ارزیابی ریسک موثر برای ISO 27001

سناریوهای رایج سازمان‌ها

سناریو ۱: شرکت کوچک / استارتاپ (کم‌دارایی، تیم کوچک، سرعت بالا)

اگر سازمانت کوچک است، معمولاً دغدغه اصلی این است که «سریع و کم‌هزینه گواهی بگیریم». این خواسته طبیعی است، ولی همان‌جا نقطه‌ای است که خیلی‌ها سر می‌خورند: CB ضعیف هم دقیقاً روی همین فشار زمان و بودجه سوار می‌شود و یک مسیر صوری می‌فروشد. ما پیشنهاد می‌کنیم معیار را از «سرعت صدور» ببری روی «قابل دفاع بودن ممیزی»؛ چون استارتاپ‌ها معمولاً با یک مشتری سازمانی، یک قرارداد B2B یا یک شریک خارجی روبه‌رو می‌شوند که همان‌جا کیفیت گواهی را می‌سنجند.

در ممیزی‌های استارتاپی، CB حرفه‌ای معمولاً روی چند چیز خیلی مشخص حساس‌تر است: مرز Scope (چه چیزی داخل/خارج است)، مالکیت دارایی‌ها و داده‌ها، ریسک‌های واقعی (نه ریسک‌های کپی‌پیستی)، و این‌که کنترل‌ها در عمل «با تیم کوچک» قابل اجرا و پایدار هستند یا نه. اگر تیم تو کوچک است، سیستم باید ساده و شفاف باشد؛ نه انبوهی از مستندات که بعد از صدور گواهی رها می‌شود. این سناریو جایی است که یک CB خوب به تو کمک می‌کند ISMS را «مینیمال ولی واقعی» ببندی؛ درست همان چیزی که در مراقبتی‌ها هم به کارت می‌آید.

مطالعه پیشنهادی: ISO 27005:2022 (مدیریت ریسک)

سناریو ۲: سازمان متوسط یا چندسایته (Site، برون‌سپاری، پیمانکار)

در سازمان‌های متوسط، چالش معمولاً «حجم و پراکندگی» است: چند واحد، چند سایت، چند تیم، و معمولاً بخشی از کار هم برون‌سپاری شده. اینجا انتخاب CB دیگر فقط انتخاب یک صادرکننده نیست؛ انتخاب یک تیم ممیزی است که بلد باشد با Sampling درست کار کند و بفهمد ریسک‌ها در کجا واقعاً اتفاق می‌افتد. اگر CB تجربه چندسایته نداشته باشد، یا ممیزی بی‌خود طولانی و فرسایشی می‌شود، یا برعکس آن‌قدر سطحی می‌شود که بعداً در تمدید و ممیزی مشتری به دردسر می‌خوری.

در این سناریو، CB خوب از تو یک تصویر روشن می‌خواهد: جریان داده بین سایت‌ها و سرویس‌های برون‌سپاری‌شده، نقش پیمانکارها، مسئولیت‌ها (RACI) و نقاط کنترلی که واقعاً در عملیات کار می‌کند. تفاوت اصلی در Stage 2 هم همین‌جاست: ممیزی باید فقط «مرکز» را نبیند و خیال کند همه‌چیز تمام شد؛ باید شواهد را از چند نقطه درست نمونه‌برداری کند. اگر سازمانت چندسایته است، حتماً قبل از قرارداد، درباره منطق Sampling، پوشش پیمانکارها و رویکرد ممیزی Remote/On-site با CB شفاف صحبت کن.

سناریو ۳: سازمان حساس (مالی/سلامت/داده‌های گسترده) و توقع ممیزی دقیق‌تر

اگر در حوزه‌های حساس مثل مالی، سلامت، پرداخت، داده‌های گسترده مشتری، یا هر فضایی که «ریسک حقوقی/اعتباری» بالاست فعالیت می‌کنی، باید از اول این واقعیت را بپذیری: ممیزی جدی‌تر خواهد بود و طبیعی هم هست. اینجا گواهی 27001 برایت فقط یک برچسب نیست؛ بخشی از اعتماد بازار و مدیریت ریسک سازمان است. پس CB باید هم از نظر صلاحیت ممیزان و هم از نظر تجربه صنعتی، واقعاً «به حوزه تو بخورد» و زبان تکنولوژی و ریسک‌هایش را بفهمد.

مطالعه پیشنهادی: جدول Annex A استاندارد ایزو 27001

در این سناریو معمولاً روی این نقاط بیشتر زوم می‌شود: مدیریت رخداد (Incident) و گزارش‌دهی، کنترل دسترسی‌ها و چرخه عمر هویت، پایش و لاگینگ، مدیریت تامین‌کننده‌ها (به‌خصوص Cloud/Managed Services)، و شواهدی که نشان دهد کنترل‌ها صرفاً نوشته نشده‌اند. اگر CB حرفه‌ای باشد، از تو Evidence می‌خواهد که «در شرایط واقعی» کار کرده باشد: نمونه رخدادها، بهبودها، آزمون‌ها، و تصمیم‌های مدیریتی. برای همین هم بهترین کار این است که از ابتدا Scope را دقیق و دفاع‌پذیر ببندی و SoA را واقعاً به ریسک‌های کسب‌وکار وصل کنی؛ چون در سازمان‌های حساس، ریسکِ «SoA صوری» خیلی سریع خودش را نشان می‌دهد.

سناریو ۴: سازمانی که قبلاً گواهی دارد و فقط می‌خواهد تمدید کند (ریسک افت ISMS)

اگر قبلاً گواهی 27001 گرفته‌ای و الان هدف اصلی‌ات تمدید (Recertification) یا عبور از مراقبتی‌هاست، خطر اصلی معمولاً «افت تدریجی ISMS» است؛ یعنی سیستم روی کاغذ هست، اما در عمل کم‌کم تبدیل به کار دوره‌ای نزدیک ممیزی می‌شود. خیلی از سازمان‌ها اینجا غافلگیر می‌شوند، چون فکر می‌کنند تمدید یعنی تکرار یک ممیزی ساده‌تر؛ در حالی که یک CB خوب دقیقاً دنبال این می‌گردد که آیا سیستم در طول زمان زنده مانده یا فقط برای روز ممیزی آماده می‌شود.

در تمدید، معمولاً تغییرات سازمانی بیشتر از خود استاندارد دردسر درست می‌کند: تغییر سرویس‌های ابری، اضافه شدن تامین‌کننده جدید، تغییر فرآیندها، رشد تیم، یا حتی تغییر نوع داده‌هایی که پردازش می‌کنی. اگر ارزیابی ریسک، SoA، ممیزی داخلی و بازنگری مدیریت با این تغییرات جلو نیامده باشد، تمدید سخت می‌شود. پیشنهاد ما این است که قبل از نزدیک شدن به Recert، یک «بازبینی واقع‌بینانه» انجام بدهی: کدام کنترل‌ها واقعاً اجرا می‌شوند؟ کدام Evidenceها مستمر هستند؟ کجاها ریسک جدید آمده و ثبت نشده؟ همین چند سؤال ساده، معمولاً از یک Recert پرهزینه و پرتنش جلوگیری می‌کند.

هزینه و زمان‌بندی واقعی پروژه (از نگاه متقاضی، اما با منطق ممیزی)

چه چیزهایی زمان پروژه را کوتاه یا بلند می‌کند؟

زمان واقعی پروژه ISO/IEC 27001 را فقط «سرعت CB» تعیین نمی‌کند؛ بخش بزرگش به این برمی‌گردد که سازمان تو چقدر برای ممیزیِ قابل دفاع آماده است. در مدل استانداردِ ممیزیِ سیستم‌های مدیریتی، برنامه ممیزی معمولاً شامل Stage 1 + Stage 2 برای ممیزی اولیه، سپس ممیزی‌های مراقبتی در سال اول و دوم، و ممیزی تمدید در سال سوم است (چرخه سه‌ساله هم از «تصمیم صدور» شروع می‌شود).

سه عامل که معمولاً پروژه را کش می‌دهند (حتی اگر همه عجله داشته باشند) این‌هاست: Scope مبهم (مرزها، سایت‌ها، سرویس‌های برون‌سپاری/کلود روشن نیست)، ریسک و SoA غیرواقعی یا کپی‌پیستی (یعنی اتصال Risk→کنترل→Evidence قابل ردیابی نیست)، و Internal Audit/Management Review صوری یا دیرهنگام. وقتی این‌ها شفاف و واقعی باشند، Stage 1 سریع‌تر جمع‌بندی می‌شود و Stage 2 هم به جای گیرکردن در ابهام‌ها، می‌رود سراغ شواهد عملی.

یک نکته مهم: «فاصله Stage 1 تا Stage 2» معمولاً تابع آمادگی سازمان است؛ اگر Stage 1 نشان بدهد هنوز Evidenceهای کلیدی آماده نیست، CB حرفه‌ای Stage 2 را همان‌طور جلو نمی‌برد چون ریسک شکست Stage 2 بالا می‌رود. این دقیقاً همان جایی است که کیفیت CB هم خودش را نشان می‌دهد: CB خوب، زمان را واقعی می‌بندد تا ممیزی قابل دفاع بماند.

چه چیزهایی هزینه ممیزی را بالا می‌برد؟

هزینه ممیزی، در عمل تابع «نفر-روز ممیزی» و پیچیدگی است، نه صرفاً تعرفه یک برگه گواهی. در اسناد IAF هم روی این موضوع تأکید می‌شود که تعیین درست زمان ممیزی (و در نتیجه هزینه) بخش جدیِ فرایند پذیرش مشتری و برنامه‌ریزی ممیزی است و باید با درنظرگرفتن عوامل اثرگذار انجام شود.

چیزهایی که معمولاً نفر-روز را بالا می‌برند:

• چندسایته بودن یا پراکندگی عملیاتی (نمونه‌برداری، سفر بین سایت‌ها، پوشش فرآیندها)
• برون‌سپاری/کلود/پیمانکارهای متعدد (چون مرزهای کنترل و مسئولیت باید دقیق ممیزی شود)
• ریسک فناوری و حساسیت داده‌ها (مثلاً مالی/سلامت/پرداخت/داده‌های حجیم مشتری)
• تغییرات زیاد در سازمان طی چرخه (ادغام، تغییر سرویس‌ها، تغییرات بزرگ در Scope)
• ضعف بلوغ سیستم (وقتی شواهد مستمر نیست و همه‌چیز نزدیک ممیزی تولید می‌شود، زمان مصاحبه/نمونه‌برداری/پیگیری بالا می‌رود)

پس اگر یک پیشنهاد قیمت خیلی پایین است، سؤال درست این نیست که «چقدر ارزان‌تر؟»؛ سؤال درست این است که «این قیمت با چند نفر-روز و با چه منطق تعیین زمان ممیزی به دست آمده؟» چون اگر نفر-روز غیرواقعی پایین بسته شده باشد، یا ممیزی صوری می‌شود یا در میانه کار با «روز اضافه» و هزینه‌های پیش‌بینی‌نشده مواجه می‌شوی.

چگونه «پیشنهاد قیمت» CB را مقایسه کنیم که گول نخوریم؟

برای مقایسه پیشنهادها، پیشنهاد می‌کنیم همه CBها را مجبور کنی قیمت را روی یک قالب مشترک باز کنند؛ وگرنه مقایسه‌ات «سیب با پرتقال» می‌شود.

حداقل چیزی که باید از هر CB بخواهی این است که پیشنهادش را بر اساس چرخه ممیزی توضیح بدهد: Stage 1، Stage 2، مراقبتی سال ۱ و ۲، تمدید سال ۳ و اینکه چرخه از تصمیم صدور شروع می‌شود.

بعد، سه سؤال خیلی دقیق بپرس:

1. نفر-روز هر مرحله چقدر است و توجیه تعیین زمان ممیزی چیست؟ (نه یک عدد خام؛ منطقش را می‌خواهی)
2. چه چیزهایی در قیمت “شامل” است و چه چیزهایی “جداگانه” حساب می‌شود؟ (سفر بین سایت‌ها، هزینه‌های جانبی، روز اضافه، تغییر Scope، صدور مجدد گواهی، ممیزی‌های ویژه)
3. تعریف Deliverable چیست؟ (گزارش Stage 1/2، نحوه ثبت NCها، زمان‌بندی بستن عدم‌انطباق‌ها، مکانیزم تصمیم صدور)

علامت‌های هشدار که معمولاً می‌گوید «ممیزی ممکن است صوری یا پرهزینهِ پنهان باشد»:

• پیشنهاد قیمت بدون تفکیک Stage 1/Stage 2 و بدون نفر-روز
• وعده‌های «گواهی تضمینی/فوری» بدون صحبت از شواهد و برنامه ممیزی
• قیمت پایین با شرط‌های مبهم برای روز اضافه یا “additional audit time”
• بی‌توجهی به واقعیت‌های Scope (سایت‌ها، برون‌سپاری، کلود، داده‌های حساس)

اگر «حریم خصوصی» هم برایت مهم است: رابطه 27006 با 27701 و 27006-2

چه زمانی 27701 مطرح می‌شود و چه ربطی به 27001 دارد؟

وقتی سازمانت با داده‌های شخصی (PII) سروکار دارد (مشتری، کاربر، پرسنل، بیمار، لیدها و…)، معمولاً فقط «امنیت اطلاعات» کافی نیست؛ باید بتوانی نشان بدهی برای حریم خصوصی و نحوه پردازش PII هم یک سیستم مدیریتی منسجم داری. اینجاست که ISO/IEC 27701 وارد می‌شود: استانداردی برای «Privacy Information Management System (PIMS)» که الزامات/راهنمایی‌های لازم را برای مدیریت حریم خصوصی تعریف می‌کند.

مطالعه پیشنهادی: ISO/IEC 27701 (حریم خصوصی)

اما یک نکته به‌روزرسانی‌شده و مهم برای بازنویسی صفحه: ISO/IEC 27701:2019 (نسخه‌ای که به‌عنوان extension به 27001/27002 معرفی شده بود) اکنون Withdrawn است و نسخه جدید ISO/IEC 27701:2025 جایگزین شده. پس اگر قرار است درباره «گواهی حریم خصوصی» صحبت کنی، باید حتماً نسخه 2025 را به‌عنوان مرجع جاری معرفی کنی و 2019 را نسخه قبلی بدانی.

مطالعه پیشنهادی: تغییرات ISO/IEC 27002:2022

از نگاه متقاضی ISO 27001، نتیجه عملی‌اش این است: اگر 27001 را برای امنیت اطلاعات می‌گیری/دارای آن هستی، 27701 مسیر را برای «مدیریت حریم خصوصی» کامل‌تر می‌کند و زبان مشترک قابل ممیزی برای PII به تو می‌دهد؛ اما دقیقاً اینکه «چطور» با 27001 جفت می‌شود و چه مدارکی می‌خواهد، بستگی به نسخه استاندارد و طرح ممیزی CB دارد (که در بخش بعدی می‌رسیم به سؤال‌های درست برای انتخاب CB).

27006-2 چیست و چه زمانی برای انتخاب CB اهمیت پیدا می‌کند؟

ISO/IEC TS 27006-2 (نسخه 2021) یک سند «برای سازمان‌ها» نیست؛ این سند برای نهادهای ممیزی و صدور گواهی و به‌خصوص برای کمک به اعتباردهی (Accreditation) CBهایی نوشته شده که می‌خواهند PIMS را ممیزی و گواهی کنند. خود ISO صریح می‌گوید این سند، الزامات و راهنماهایی را برای ممیزی/صدور PIMS طبق 27701 (در ترکیب با 27001) اضافه می‌کند و عمدتاً برای پشتیبانی از اعتباردهی CBهای صادرکننده PIMS است.

پس چرا باید در صفحه‌ای که مخاطبش «متقاضی» است، 27006-2 را بیاوریم؟ چون دقیقاً به تو کمک می‌کند سؤال‌های درست بپرسی: وقتی یک CB به تو می‌گوید «برای 27701 هم گواهی می‌دهم»، تو حق داری شفاف بدانی این CB واقعاً برای PIMS در دامنه اعتباردهی‌اش ارزیابی شده یا فقط یک ادعای بازاری است. 27006-2 از جنس همان معیارهایی است که پشت‌صحنه، کیفیت این ادعا را تعیین می‌کند.

و یک به‌روزرسانی خیلی مهم دیگر: در اکوسیستم استانداردها، حالا ISO/IEC 27706:2025 هم معرفی شده که مشخصاً «الزامات نهادهایی که PIMS را ممیزی و گواهی می‌کنند» را هدف گرفته است. این یعنی فضای استانداردهای «CB برای حریم خصوصی» در حال به‌روزرسانی و استانداردسازی دقیق‌تر است؛ بنابراین متقاضی باید از CB بپرسد بر اساس کدام نسخه 27701 (2025 یا قبلی) و تحت کدام استاندارد/طرحِ CB (مثل 27006-2 یا 27706) ممیزی انجام می‌شود و دامنه اعتباردهی دقیقاً چیست.

اشتباهات رایج متقاضیان هنگام انتخاب CB (و راه‌حل سریع)

تمرکز روی قیمت به جای صلاحیت

این رایج‌ترین خطاست: چند پیشنهاد می‌گیری و ناخودآگاه «کمترین عدد» جذاب‌ترین می‌شود؛ چون گواهی را شبیه یک محصول آماده می‌بینی. مشکل اینجاست که در ISO 27001، چیزی که می‌خری «برگه» نیست؛ کیفیت ممیزی است. اگر CB نفر-روز را غیرواقعی پایین ببندد یا تیم ممیزی کم‌تجربه باشد، یا ممیزی سطحی می‌شود (گواهی کم‌ارزش/ریسکی) یا وسط کار با هزینه‌های پنهان و روز اضافه روبه‌رو می‌شوی.

راه‌حل سریع ما: قیمت را فقط وقتی مقایسه کن که اول «پیشنهادها را هم‌قالب» کرده باشی. یعنی از هر CB بخواه Stage 1، Stage 2، مراقبتی‌ها و تمدید را جداگانه توضیح دهد و بگوید هر کدام چند نفر-روز است، تیم ممیزی چه کسانی‌اند، و خروجی دقیق هر مرحله چیست. اگر یک CB از شفاف‌سازی طفره رفت، معمولاً همان‌جا باید از لیستت خارج شود—حتی اگر ارزان‌تر باشد.

Scope غیرقابل دفاع و دردسر بعدی

خیلی‌ها برای اینکه کار سریع‌تر جلو برود، Scope را یا خیلی محدود می‌بندند (که بعداً با واقعیت کسب‌وکار نمی‌خواند)، یا خیلی بزرگ و مبهم تعریف می‌کنند (که Evidence کافی برایش ندارند). نتیجه هر دو یکی است: Stage 2 تبدیل می‌شود به جنگ اعصاب؛ یا با عدم‌انطباق‌های جدی روبه‌رو می‌شوی، یا گواهی‌ای می‌گیری که بعداً در ارزیابی مشتری/مناقصه، به خاطر تناقض Scope با واقعیت سازمان زیر سؤال می‌رود.

راه‌حل سریع ما: قبل از قرارداد، Scope را با نگاه «قابل ممیزی بودن» ببند. یعنی مرزها، سایت‌ها، سرویس‌های برون‌سپاری/کلود، و اینترفیس‌ها را دقیق بنویس و به CB نشان بده. از CB هم بخواه در همان Stage 1 صریحاً بگوید این Scope از نظر ممیزی قابل دفاع هست یا نیاز به اصلاح دارد. اگر CB از همان ابتدا روی Scope سؤال دقیق نمی‌پرسد، معمولاً در ادامه هم ممیزی‌اش سطحی خواهد بود.

SoA صوری و کنترل‌های بدون Evidence

این یکی خیلی خطرناک است چون ظاهراً همه‌چیز «کامل» به نظر می‌رسد: یک SoA تمیز، یک سری سیاست و روش اجرایی، حتی شاید همه کنترل‌ها هم تیک خورده باشد. اما روز ممیزی که می‌رسد، سؤال اصلی این است: کدام کنترل‌ها واقعاً اجرا می‌شوند و شواهد عملی‌شان کجاست؟ اگر SoA فقط یک فایل برای پر کردن باشد و ارتباط Risk → تصمیم درمان ریسک → کنترل → Evidence روشن نباشد، CB حرفه‌ای سریع متوجه می‌شود و خروجی ممیزی را به خطر می‌اندازد.

راه‌حل سریع ما: SoA را از «فهرست کنترل‌ها» تبدیل کن به «نقشه دفاع». برای هر کنترل مهم، حداقل یک Evidence واقعی تعریف کن (نمونه لاگ، رکورد رخداد، گزارش پایش، نتایج تست، قرارداد/ارزیابی تامین‌کننده، رکورد بازنگری، خروجی مدیریت دسترسی و…)، و نشان بده این Evidence به کدام ریسک وصل است. اگر وقتت کم است، به‌جای تلاش برای تکمیل ظاهری همه چیز، روی کنترل‌های پرریسک و پرتکرار تمرکز کن و Evidence مستمر بساز.

اعتماد به وعده «گواهی فوری» و تبعاتش

وعده‌هایی مثل «گواهی تضمینی»، «صدور فوری»، «بدون ممیزی جدی» دقیقاً همان چیزی است که باید تو را حساس کند—نه خوشحال. چون اگر ممیزی واقعاً انجام نشود یا تصمیم صدور بدون شواهد قابل دفاع باشد، ریسک اصلی را تو می‌پردازی: رد شدن در ارزیابی مشتری، بی‌اعتبار شدن گواهی، یا حتی بدتر از آن، یک حس امنیت کاذب که باعث می‌شود نقاط ضعف واقعی امنیتی دیده نشوند.

راه‌حل سریع ما: هرجا عبارت‌های «تضمینی/فوری/بدون دردسر» دیدی، گفتگو را از شعار به سند برگردان. بپرس برنامه ممیزی دقیق چیست، تیم ممیزی چه کسانی‌اند، نفر-روز واقعی چقدر است، Stage 1 و Stage 2 چه خروجی‌هایی دارند، و مسیر استعلام گواهی بعد از صدور چگونه است. CB معتبر از سؤال‌های دقیق ناراحت نمی‌شود؛ اتفاقاً این سؤال‌ها نشان می‌دهد تو دنبال گواهی قابل دفاع هستی، نه صرفاً یک برگه.

پرسش‌های متداول

مرکز مشاوره ایران گواه یکی از معتبرترین مراجع جهت اخذ گواهینامه های بین المللی ایزو است. برای دریافت گواهینامه های ایزو معتبر از این فرم استفاده کنید و یا در واتس‌اپ پیام دهید.

شماره تماس: 46134156-021