امنیت اطلاعات با یک سیستم
امنیت داده ها و اطلاعات قابل نمایش
امنیت به عنوان بخشی از فرهنگ سازمانی
اجرای موثر فرآیند مدیریت ریسک
بهبود مستمر سطح امنیت شما
ISO 27001 چیست؟
اطلاعات در همه جا ما را احاطه کرده و بخشی از هر فرآیندی است. گاهی اوقات ممکن است بی اهمیت باشد، اما اغلب بسیار مهم و محرمانه است. به منظور ایجاد این تمایز مهم برای سازمان شما، لازم است اطلاعات را طبقه بندی کنید. زیرا اقدامات حفاظتی یک سیستم مدیریت امنیت اطلاعات (ISMS) طبق استاندارد ISO/IEC 27001 بر اساس این طبقه بندی است.
یک ISMS چارچوبی را برای حفاظت از داده های عملیاتی و محرمانه بودن آن ایجاد می کند. در عین حال، استاندارد شناخته شده جهانی، در دسترس بودن سیستم های فناوری اطلاعات درگیر در فرآیندهای شرکت را تضمین می کند. در این زمینه، گواهینامه ISO 27001 یک سیگنال قوی به بازار ارسال می کند: یعنی ارزیابی خارجی مستقل و تأیید اثربخشی ISMS شما.
با استاندارد EN ISO/IEC 27001:2017-06، نسخه ای که توسط کمیته استانداردسازی اروپا (CEN) هماهنگ شده است منتشر شده است. این دو تصحیح (تصحیح) Cor 1:2014 و Cor 2:2015 را ترکیب می کند. تغییرات مرتبط با اصلاح فقط شامل شرح بهبود یافته الزامات مرتبط است، اما نیازهای جدید و اضافی ندارد. بنابراین گواهینامه ها مطابق با نسخه ISO/IEC 27001:2013 اعتبار خود را حفظ می کنند.
گواهینامه ISO 27001 برای چه کسانی مناسب است؟
برای مثال، در آلمان، شرکتهایی که به بخش زیرساختهای حیاتی (KRITIS) تعلق دارند و از یک آستانه فراتر میروند، باید شواهدی ارائه کنند که چگونه امنیت اطلاعات خود را تضمین میکنند. بخش های KRITIS شامل انرژی، آب، بهداشت، امور مالی و بیمه، غذا، حمل و نقل و ترافیک، فناوری اطلاعات و مخابرات می باشد. گواهی مربوط به پیاده سازی را می توان با ممیزی های امنیتی، آزمایش ها یا گواهینامه ها ارائه کرد. برای این منظور، استانداردهای شناخته شده ای مانند ISO 27001 یا استانداردهای امنیتی خاص صنعت که توسط اداره فدرال امنیت اطلاعات آلمان (BSI) به رسمیت شناخته شده است، می توانند به عنوان مبنای حسابرسی مورد استفاده قرار گیرند.
چه چیزی استاندارد ISO 27001 را برای شرکت من مفید می کند؟
به ویژه برای عمل، اجرای اقدامات مندرج در پیوست A استاندارد ارزشمند است. علاوه بر بخش الزامات مبتنی بر سیستم مدیریت (فصل های 4 تا 10)، استاندارد ISO شامل فهرست گسترده ای از 35 هدف اندازه گیری (کنترل) با 114 اقدام مشخص برای طیف گسترده ای از جنبه های ایمنی در 14 فصل در پیوست A است. اقدامات باید در چارچوب سیستم مدیریت اجرا شود.این اقدامات باید به عنوان بخشی از سیستم مدیریت، تا جایی که مربوط به شرکت شما باشد، اجرا شود.
ثابت شده است که همسویی مداوم فرآیندهای شرکت با ISO 27001 منجر به چندین مزیت می شود:
بهبود مستمر سطح امنیت
کاهش خطرات موجودرعایت الزامات انطباقآگاهی بیشتر در بین کارکنانافزایش رضایت مشتری
ممیزی داخلی و بررسی مدیریت با مشارکت مدیریت عالی اهرم های داخلی برای دستیابی به این امر است.
سایر جنبههای مثبت این است که اشخاص ذینفع مانند مقامات نظارتی، شرکتهای بیمه، بانکها، شرکتهای شریک سطح بالاتری از اعتماد را در شرکت شما ایجاد میکنند. این به این دلیل است که یک سیستم مدیریت تایید شده نشان میدهد که سازمان شما با ریسکها به شیوهای ساختاریافته برخورد میکند و از بهبود مستمر (CIP) پیروی میکند و آن را در برابر تأثیرات ناخواسته مقاومتر میکند.
استاندارد بین المللی ISO/IEC 27001 همچنین می تواند مستقل از سایر سیستم های مدیریتی مانند ISO 9001 (مدیریت کیفیت) یا ISO 14001 (مدیریت زیست محیطی) پیاده سازی، اجرا و تایید شود.
چه کسانی مجاز به صدور گواهینامه بر اساس ISO 27001 هستند؟
علاوه بر این، ISO/IEC 27006 الزامات سختگیرانهای را تعریف میکند که سازمانهای صدور گواهی باید از آنها پیروی کنند تا بتوانند یک ISMS را مطابق با ISO 27001 تأیید کنند.
این شامل:
شواهد تلاش ممیزی مشخص
الزامات صلاحیت ممیزان
DQS توسط سازمان ملی اعتباربخشی آلمان DakkS (Deutsche zugangsstelle GmbH) معتبر است و بنابراین مجاز به انجام ممیزی و گواهینامه مطابق با ISO 27001 است.
صرف نظر از صنعتی که شرکت شما در آن فعالیت می کند، می توانید به تخصص متمایز ممیزان DQS تکیه کنید. آنها سالها تجربه در ارزیابی سیستم های مدیریت امنیت اطلاعات در صنایع مختلف دارند.
گواهینامه ISO 27001 چگونه کار می کند؟
هنگامی که تمام الزامات ISO 27001 اجرا شد، می توانید سیستم مدیریت خود را تأیید کنید. شما یک فرآیند صدور گواهینامه چند مرحله ای را در DQS طی خواهید کرد. اگر یک سیستم مدیریت تایید شده از قبل در شرکت ایجاد شده باشد، می توان روند را کوتاه کرد.
در گام اول، شرکت خود و اهداف صدور گواهینامه ISO 27001 را با ما در میان می گذارید. بر این اساس، شما یک پیشنهاد دقیق متناسب با نیازهای فردی شرکت خود دریافت خواهید کرد.
A project planning meeting can be useful for larger projects, for example, in order to better coordinate schedules and the performance of audits with multiple locations or divisions. The pre-audit offers you an opportunity to identify the strengths and potential for improvement of your management system in advance. Both services are optional.
ممیزی صدور گواهینامه با تجزیه و تحلیل سیستم و ارزیابی ISMS شما (مرحله ممیزی1) شروع می شود. در اینجا، ممیز شما تعیین می کند که آیا سیستم مدیریت شما به اندازه کافی توسعه یافته و برای صدور گواهینامه آماده است یا خیر. در مرحله بعد (مرحله ممیزی سیستم 2)، ممیز شما با استفاده از استاندارد ISO 27001، اثربخشی کلیه فرآیندهای مدیریتی در محل را ارزیابی می کند. نتیجه ممیزی در جلسه نهایی ارائه می شود. در صورت لزوم، برنامه های عملیاتی مورد توافق قرار می گیرد.
پس از ممیزی گواهینامه، نتایج توسط هیئت مستقل صدور گواهینامه DQS ارزیابی می شود. در صورت رعایت تمامی الزامات استاندارد، گواهینامه ISO 27001 را دریافت خواهید کرد.
پس از صدور گواهینامه موفقیت آمیز، اجزای کلیدی ISMS شما حداقل سالی یک بار در محل مورد بازرسی قرار می گیرند تا از بهبود مستمر اطمینان حاصل شود.
گواهینامه ISO 27001 حداکثر تا سه سال اعتبار دارد. برای اطمینان از انطباق مداوم با الزامات استاندارد قابل اجرا، تأیید مجدد در زمان مناسب قبل از انقضا انجام می شود. پس از انطباق، گواهی جدید صادر می شود.
هزینه صدور گواهینامه ISO 27001 چقدر است؟
هزینه های صدور گواهینامه طبق استاندارد ISO 27001 بر اساس چهار معیار زیر تعیین می شود:
1. پیچیدگی سیستم مدیریت امنیت اطلاعات شما.
ارزش های حیاتی (به عنوان مثال پتنت ها، داده های شخصی، امکانات، فرآیندها) شرکت شما در نظر گرفته می شود. هزینه صدور گواهینامه اساساً بر اساس الزامات امنیت اطلاعات و میزانی است که محرمانه بودن، یکپارچگی و در دسترس بودن (VIV) اطلاعات تحت تأثیر قرار می گیرد.
2. تجارت اصلی شرکت شما در محدوده ISMS
در این مرحله، ریسکهای مرتبط با فرآیندهای کسبوکار شما بهویژه نقش مهمی در تعیین تلاش حسابرسی لازم دارند. الزامات قانونی و همچنین نیازهای پیچیده و فردی مشتری در نظر گرفته می شود.
3. فناوری ها و اجزای اصلی مورد استفاده در ISMS شما
در طول ممیزی، فناوری و همچنین اجزای جداگانه ISMS شما مورد بررسی قرار می گیرد. اینها شامل پلتفرم های فناوری اطلاعات، سرورها، پایگاه های داده، برنامه ها و همچنین بخش های شبکه می شود. قانون اساسی در اینجا این است: هر چه نسبت سیستم های استاندارد بیشتر باشد و پیچیدگی IT شما کمتر باشد، تلاش کمتری خواهید کرد. هزینه های صدور گواهینامه ISO 27001 نیز به این بستگی دارد.
4 نسبت پیشرفت های داخلی در ISMS شما
اگر توسعه داخلی وجود نداشته باشد و شما عمدتاً از پلت فرم های نرم افزار استاندارد استفاده می کنید، تلاش برای ارزیابی کمتر است. اگر ISMS شما با استفاده فشرده از نرم افزارهای خود توسعه یافته مشخص می شود و اگر این نرم افزار برای مناطق تجاری مرکزی استفاده شود، تلاش برای صدور گواهینامه بیشتر خواهد شد.
برای اینکه بتوانیم یک نمای کلی از هزینه های صدور گواهینامه ISMS به شما ارائه دهیم، از قبل به اطلاعات دقیقی در مورد مدل کسب و کار و حوزه کاربرد شما نیاز داریم. از این طریق میتوانیم یک پیشنهاد سفارشی به شما ارائه دهیم.