گواهینامه ایزو 27001

ایزو 27001 چیست ؟

ISO 27001  (به طور رسمی به عنوان ISO / IEC 27001: 2005 شناخته می شود) یک مشخصه برای سیستم مدیریت امنیت اطلاعات (ISMS) است. ISMS چارچوب سیاست ها و رویه هایی است که شامل تمام موارد قانونی، فیزیکی و فنی درگیر در فرآیندهای مدیریت اطلاعات و مدیریت ریسک سازمان است.

بر اساس اسناد و مدارک ، اخذ گواهینامه ایزوISO 27001  به منظور "ارائه مدل برای ایجاد، اجرا، مدیریت، نظارت، بررسی، حفظ و بهبود سیستم مدیریت امنیت اطلاعات" توسعه داده شده است.ایزو 27001  از یک رویکرد مبتنی بر ریسک بالا و پایین استفاده می کند و از لحاظ تکنولوژی خنثی است.

این مشخصات شامل جزئیات اسناد، مسئولیت های مدیریتی، ممیزی داخلی، بهبود مستمر و اقدامات اصلاحی و پیشگیرانه می شود. این استاندارد نیازمند همکاری میان تمام بخش های سازمان است.

استاندارد 27001 دستورالعمل های امنیتی خاصی را اعطا نمی کند، اما یک چک لیست از کنترل هایی را که باید در کد های مربوط به آن، ISO / IEC 27002: 2005  در نظر گرفته شود، ارائه می دهد. این استاندارد مجموعه ای جامع از اهداف کنترل امنیت اطلاعات و مجموعه ای از کنترل های امنیتی خوب را که به طور کلی پذیرفته شده است، توصیف می کند.


ایزو 27001 دارای 12 بخش اصلی است:

1 -  ارزیابی ریسک
2 - سیاست امنیتی
3 -  سازمان امنیت اطلاعات
4 -  مدیریت دارایی
5 -  امنیت منابع انسانی
6 - امنیت فیزیکی و محیط زیست
7 -  مدیریت ارتباطات و عملیات
8 - کنترل دسترسی
9 - اخذ، توسعه و نگهداری سیستم های اطلاعاتی
10 - مدیریت حوادث امنیتی اطلاعات
11 -  مدیریت تداوم کسب و کار
12 – انطباق

سازمانها باید این کنترل ها را به طور مناسب به خطرات خاص خود اعمال کنند.


استانداردهای دیگر که در خانواده 27000 توسعه یافته است:

27003 -  راهنمایی پیاده سازی.

27004 - یک استاندارد اندازه گیری مدیریت امنیت اطلاعات که معیارهایی را برای کمک به بهبود کارایی یک سیستم ISMS ارائه می دهد.

27005 - استاندارد مدیریت ریسک امنیت اطلاعات . (منتشر شده در سال 2008)

27006 - راهنمایی برای صدور گواهینامه یا ثبت نام برای صدور گواهینامه ها یا ثبت نام های معتبر ISMS . (منتشر شده در سال 2007 )

27007 - دستورالعمل حسابرسی ISMS .

مشاوره رایگان واتس آپ
مشاوره تلفنی رایگان