1

نحوه اخذ گواهینامه ایزو 27001

شما برای مدت طولانی ایزو 27001 را پیاده سازی نموده اید، مبالغ هنگفتی را صرف آموزش، مشاوره و اجرای کنترل های کختلف کرده اید. حالا نوبت به ممیزی شرکت گواهی کننده رسیده، آیا از این آزمون سر بلند بیرون خواهید آمد؟

استرس برای اخذ گواهینامه امری عادیست، هرگز نمی دانید آیا ISMS (سیستم مدیریت امنیت اطلاعات) شما جواب گوی انتظارات شرکت گواهی کننده هست یا خیر. ولی ممیز دقیقا دنبال چه خواهد بود؟

در ابتدا، ممیزی مرحله 1 اجرا خواهد شد، که به آن «بررسی مستندات» نیز می گویند، در این مرحله ممیز دنبال فعالیت های مستند شده، اهداف و سیاست ISMS، تعریف متدشناسی ارزیابی ریسک، گزارش ارزیابی ریسک، اظهارنامه انطباق، برنامه مقابله با ریسک، راهکارهای کنترل مستندات، اقدامات اصلاحی و پیشگیرانه، و ممیزی داخلی می گردد. شما نیز می بایست برخی از کنترل های موجود را مستند سازی کنید:

  • Annex A (فقط در صورتی که برای استفاده شما مناسب باشند)،
  • فهرست دارایی ها (A.7.1.1)،
  • میزان قابل قبول استفاده دارایی ها (A.7.1.3)،
  • نقش و مسئولیت کارمندان، پیمانکاران و سایر کاربران شخص ثالث (A8.1.1)،
  • شرایط و ضوابط استخدام (A.8.1.3)،
  • روشهای استفاده از تاسیسات پرادازش اطلاعات (A.10.1.1)،
  • سیاست کنترل دسترسی (A.11.1.1)،
  • شناسایی قوانین قابل کاربرد (A.15.1.1)

شما همچنین به حداقل یک ممیزی داخلی و بررسی مدیریت نیاز دارید.

اگر هرکدام از موارد بالا ناقص باشد به این معنی است که شما برای ممیزی مرحله دوم آماده نیستید. البته در صورت لزوم می توانید مستندات بسیار بیشتری تهیه کنید، موارد بالا تنها الزامات حداقلی هستند.

ممیزی مرحله دوم یا «ممیزی اصلی» معمولا یک هفته بعد از ممیزی مرحله اول انجام می شود. در این مرحله تمرکز بر مستندات نیست، مگر آنکه شرکت شما همان اموری را انجام میدهد که مستندات شما و ایزو 27001 دستور داده. به عبارت دیگر ممیز چک می کند که آیا ISMS واقعا در سازمان شما تحقق یافته یا کاملا بی استفاده هستند. ممیز این کار را از طریق مشاهده، مصاحبه با کارمندان شما، و به ویژه بررسی ثبتیات (آمار) شما انجام می دهد. ثبتیاتی که الزامی هستند شامل تحصیلات، آموزش، مهارت ها، تجارب و صلاحیت ها (5.2.2)، ممیزی داخلی (6)، بررسی مدیریت (7.1)، اقدامات اصلاحی (8.2) و پیشگیرانه (8.3) می شود، اگرچه ممیز انتظار مشاهده ثبتیات بسیار بیشتری را در نتیجه اجرای راهکارهای شما دارد.

لطفا دقت داشته باشید، اگر هر بخشی از ISMS شما مصنوعی باشد، و صرفا به منظور ممیزی تهیه شده باشد هر ممیز با تجربه ای به سرعت متوجه آن خواهد شد.

با انجام تمام این موارد امکان آن هست که ممیز متوجه عدم انطباقی عمده شود و بیان کند که شما شرایط دریافت گواهینامه ایزو 27001 را ندارید. آیا این پایان کار است؟

البته که نه. روند آن این گونه است، ممیز در گزارش ممیزی خود تمام یافته ها (از جمله عدم انطباق مذکور) را قید می کند، و به شما مهلتی می دهد تا عدم انطباق را رفع نمایید (معمولا 90 روز). کار شما این است که اقدام اصلاحی مناسب را اتخاذ کنید، باید در این کار دقت کافی صرف کنید زیرا اقدام اتخاذ شده باید عامل عدم انطباق را از بین ببرد، وگرنه ممکن است ممیز کاری را که انجام داده اید قابل قبول نداند. وقتی از اتخاذ اقدام درست مطمئن شدید باید به ممیز اطلاع دهید و مدرکی از کاری که انجام داده اید را برای او بفرستید. اگر کار خود را درست انجام داده باشید در اکثر موارد ممیز اقدام اصلاحی شما را می پذیرد و روند دریافت گواهینامه را به جریان می اندازد.

با اینکه ممکن است زمان زیادی را از شما بگیرد اما در آخر شما به عنوان یک سازمان دارای گواهینامه ایزو 27001 مفتخر می شوید. با این حال دقت نمایید که این گواهینامه به مدت 3 سال اعتبار دارد و امکان تعلیق آن در میان این دوره در صورت مشاهده عدم انطباق از طرف شرکت گواهی کننده و طی ملاقات های مراقبتی وجود دارد.)