گواهینامه ایزو 27001 شناخته شده ترین استاندارد درخانواده میباشدکه بجهت سیستم مدیریت امنیت اطلاعات (ISMS) الزامات لازم راارائه میدهد. درخانواده 27000 بیشتراز دوازده استاندارد وجود دارد ، میتوانید آنهارا دراینجا مشاهده کنید.
خانواده استانداردهای ایزو 27000 کمک میکندبه سازمانها تاداراییهای اطلاعات راایمن نگه دارند. استفاده ازاین خانواده استانداردها کمک میکندبه سازمان شماتا امنیت داراییهایی ازقبیل اطلاعات مالی ، مالکیت معنوی ، جزئیات کارمندان ویا اطلاعاتی راکه توسط شخص ثالث بشما سپرده شدست ، مدیریت کند و اطلاعات سازمان راتا زمان لازم محافظت کند. یکی ازاصطلاحات لازمه استاندارد ایزو 27001 ، ISMS هست و تعریفش مهم هست. ISMS یک رویکرد سیستماتیک بجهت مدیریت اطلاعات حساس درشرکت است تااینکه امنیت درآن حفظ شود. واین شامل افراد ، فرآیندها و سیستمهای IT بااستفاده ازیک فرآیند مدیریت ریسک میشوداین میتواندبه مشاغل کوچک ، متوسط و بزرگ درهر بخش کمک کندتا داراییهای اطلاعات راایمن نگه دارند.
گواهی ایزو 27001 یک استاندارد امنیتی اطلاعات هست ، بخشی ازاین استانداردهای خانواده ISO / IEC 27000 ، که آخرین نسخه درسال 2013 منتشر شد و ازآن زمان چند نسخه جزئی دارداین انتشارات توسط سازمان بین المللی استاندارد (ISO) و کمیسیون بین المللی الکتروتکنیک (IEC) تحت عنوان کمیته مشترک ISO و IEC ، ISO / IEC JTC 1 / SC 27 منتشر شدست.
گواهی نامه ایزو 27001 یک سیستم مدیریتی رامشخص میکندکه قصد دارد امنیت اطلاعات راتحت کنترل مدیریت قرار دهد و الزامات خاصی راارائه دهد. آندسته سازمانهاکه شرایط رابرآورده میکنند ممکنست بعداز انجام موفقیت آمیز حسابرسی توسط یک نهاد صدور گواهینامه معتبر تأیید شوند. بیشتر سازمانها تعدادی کنترل امنیتی اطلاعات دارندبا اینحال ، بدون یک سیستم مدیریت امنیت اطلاعات (ISMS) ، کنترلها تاحدودی بی نظم و جدا ازهم هستند ، زیرااغلب بعنوان راه حلهای نقطه ای جهت موقعیتهای خاص یابه سادگی بعنوان یک موضوع کنوانسیون اجرا میشوند. کنترلهای امنیتی درعمل معمولاً جنبه های خاصی از فناوری اطلاعات ویا امنیت داده ها رامشخص میکند. ترک داراییهای اطلاعات غیر IT مانند کاردستی و دانش اختصاصی بطور کلی کمتر محافظت میشود. علاوه براین ، برنامه ریزی استمرار مشاغل و امنیت جسمی ممکن هست کاملاً مستقل ازاین فناوری اطلاعات ویا امنیت اطلاعات مدیریت شود درحالیکه شیوه های منابع انسانی ممکنست اشاره کندبه لزوم تعریف و تعیین نقشها و مسئولیتهای امنیت اطلاعات درکل سازمان.
به مدیریت نیاز دارد: بطور سیستماتیک خطرات امنیتی اطلاعات سازمان رابا توجه تهدیدات ، آسیب پذیری ها و اثراتش بررسی کنید. مجموعه ای منسجم و جامع ازکنترلهای امنیتی اطلاعات ویا اشکال دیگر درمان ریسک (مانند جلوگیری ریسک ویا انتقال ریسک) رابرای مقابله باخطرات تلقی شده غیرقابل قبول ، طراحی و پیاده سازی کنید. واتخاذ یک فرآیند مدیریت فراگیربرای اطمینان ازاینکه کنترل های امنیتی اطلاعات همچنان براساس نیاز مداوم نیازهای امنیت اطلاعات سازمان پاسخ میدهند.
ایزو 27001 گونه ای طراحی شدست که بسیار بیشتراز فناوری اطلاعات راپوشش دهد. آنچه کنترل بعنوان بخش صدور گواهینامه به ایزو 27001 مورد آزمایش قرار میگیردبه حسابرس صدور گواهینامه بستگی دارداین میتواند شامل هرگونه كنترل باشدكه سازمان درنظر گرفته شده درمحدوده ISMS باشد واین آزمایش میتواندتا حد و عمق هراندازه توسط حسابرس مورد ارزیابی قرار گیرد ، آزمایش كند تااین كنترل رااجرا كرده و بطور مؤثر عمل كند. مدیریت دامنه ISMS رابرای اهداف صدور گواهینامه تعیین میکند و ممکنست آنرابه مثلاً یک واحد تجاری یامکان واحد محدود کند. گواهینامه ایزو 27001 لزوماًبه معنای باقیمانده سازمان ، خارج ازمحدوده هدفگذاری شده ، رویکرد کافی جهت مدیریت امنیت اطلاعات نیست.
سایر استانداردهای استاندارد خانواده های ISO / IEC 27000 راهنماییهای دیگری رادر مورد جنبه های خاص طراحی ، پیاده سازی و بهره برداری از ISMS ارائه میدهد. بعنوان مثال درمورد مدیریت ریسک امنیت اطلاعات (ISO / IEC 27005). ممکنه توسط تعدادی ازثبت کنندگان معتبر درسراسر جهان مطابق ایزو 27001 تأیید شود. صدور گواهینامه دربرابر هریک ازانواع ملی شناخته شده ایزو 27001 بعنوان مثال (JIS Q 27001 ، نسخه ژاپنی) توسط یک نهاد صدور گواهی معتبر ، ازنظر عملکردی معادل صدور گواهینامه دربرابر خود ایزو 27001 است. دربعضی ازکشورها ، نهادهای انطباق سیستمهای مدیریتی بانوع استانداردهای مشخص شده راتأیید میکنند ، نهادهای صدور گواهینامه نامیده میشوند، درحالیکه درسایر کشورها معمولاً بدانها ارگان های ثبت نام ، ارگان های ارزیابی و ثبت ، نهادهای صدور گواهینامه / ثبت نام گفته میشوند. وگاهی ثبت کننده گواهینامه ایزو 27001 ، مانند سایر گواهینامه های سیستم مدیریت ISO ، معمولاً شامل یک فرآیند حسابرسی خارجی سه مرحله ایست و توسط استانداردهای ISO / IEC 17021 [6] و ISO / IEC 27006 [7] تعریف شده است: مرحله 1 یک بررسی مقدماتی و غیررسمی از ISMS است ، بعنوان مثال بررسی وجود و کامل بودن اسناد کلیدی مانند سیاست امنیت اطلاعات سازمان ، بیانیه کاربردی بودن (SOA) و برنامه رفع ریسک (RTP). اینمرحله درخدمت آشنایی حسابرسان باسازمان و برعکس آنست. مرحله 2 یک ممیزی دقیقتر و رسمیست وبه طور مستقل ISMS رادر برابر الزامات مندرج در ایزو 27001 آزمایش میکند. حسابرسان بدنبال شواهدی جهت تأیید اینکه سیستم مدیریت بدرستی طراحی و اجرا شدست ، و درواقع عملیاتی هستند ( بعنوان مثال باتأیید اینکه کمیته امنیتی ویا نهاد مدیریتی مشابه بابت نظارت بر ISMS مرتباً ملاقات میکنند). ممیزیهای صدور گواهینامه معمولاً توسط ایزو 27001 حسابرسان انجام میشود. باگذر ازاین مرحله ، گواهی ISMS مطابق ایزو 27001انجام میشود. درحال انجام شامل بررسیهای بعدی ویا ممیزی هابرای تأیید اینست که سازمان مطابق استاندارد باقی ماندست. تأیید گواهینامه نیازبه ممیزی ارزیابی مجدد دوره ای داردتا تأیید کندکه ISMS بصورت مشخص ودر نظر گرفته شده بفعالیت خودادامه میدهد. اینها بایدحداقل سالانه اتفاق بیفتد، اما (باتوافق بامدیریت) غالباً بیشتر انجام میشود ، بخصوص درحالیکه ISMS هنوز پخته هست.
گروه بین المللی ثبت و ارتقاء برند سامان کاران ، باسابقه درخشان و باوجود مشاورین باتجربه آماده هرگونه مشاوره و اطلاع رسانی بمتقاضیان محترم میباشد. خدمات مشاوره مرکز کاملا رایگان بوده و شما متقاضی عزیز تنها بایک تماس میتوانید اطلاعات لازم رادر حوزه انواع گواهینامه ایزو, HSE , IMS , CE , گرید و رتبه پیمانکاری , گرید و رتبه انفورماتیک و گواهینامه تایید صلاحیت ایمنی پیمانکاران و انواع گواهینامه ملی و بین المللی کسب نمایید.