हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंISO 27001 कार्यान्वयन: सूचना सुरक्षा प्रबंधन प्रणाली
ISO 27001 दुनिया का सबसे व्यापक रूप से मान्यता प्राप्त सूचना सुरक्षा प्रबंधन मानक है, जिसके विश्व स्तर पर 70,000 से अधिक संगठन प्रमाणित हैं। जीडीपीआर या पीसीआई डीएसएस जैसे निर्देशात्मक नियमों के विपरीत, आईएसओ 27001 व्यवस्थित सूचना सुरक्षा प्रबंधन के लिए एक जोखिम-आधारित ढांचा प्रदान करता है - जो किसी भी आकार, उद्योग या भूगोल के संगठनों के लिए अनुकूल है। एक वैध ISO 27001 प्रमाणन ग्राहकों, भागीदारों, नियामकों और बीमाकर्ताओं को संकेत देता है कि आपका संगठन एक संरचित, लेखापरीक्षित और लगातार सुधार प्रबंधन प्रणाली के माध्यम से सूचना सुरक्षा जोखिमों का प्रबंधन करता है।
वर्तमान संस्करण आईएसओ/आईईसी 27001:2022 है, जो अक्टूबर 2022 में प्रकाशित हुआ, जिसने आईएसओ/आईईसी 27001:2013 को प्रतिस्थापित किया। 2013 प्रमाणन वाले संगठनों के पास 2022 संस्करण में परिवर्तन के लिए 31 अक्टूबर, 2025 तक का समय था। सभी नए प्रमाणपत्र 2022 तक जारी किए जाएंगे।
मुख्य बातें
- आईएसओ 27001:2022 ने अनुबंध ए नियंत्रणों को 114 से घटाकर 93 कर दिया, चार विषयों में पुनर्गठित किया: संगठनात्मक (37), लोग (8), भौतिक (14), तकनीकी (34)
- नए 2022 नियंत्रणों में शामिल हैं: खतरे की खुफिया जानकारी, व्यापार निरंतरता के लिए आईसीटी तैयारी, भौतिक सुरक्षा निगरानी, सुरक्षित कोडिंग, वेब फ़िल्टरिंग, डीएलपी और डेटा मास्किंग
- आईएसएमएस (सूचना सुरक्षा प्रबंधन प्रणाली) का दायरा, दस्तावेजीकरण, जोखिम-मूल्यांकन और एक मान्यता प्राप्त प्रमाणन निकाय द्वारा प्रमाणित होना चाहिए
- प्रमाणन के लिए आवश्यक है: चरण 1 (दस्तावेज़ीकरण समीक्षा) और चरण 2 (कार्यान्वयन ऑडिट) - आम तौर पर तैयारी से प्रमाणन तक 3-6 महीने
- निरंतर सुधार अनिवार्य है: त्रैमासिक आंतरिक ऑडिट, वार्षिक प्रबंधन समीक्षा, वार्षिक निगरानी ऑडिट के साथ तीन साल का प्रमाणन चक्र
- प्रयोज्यता विवरण (एसओए) आपके जोखिम उपचार निर्णयों को अनुबंध ए नियंत्रणों से जोड़ने वाला महत्वपूर्ण दस्तावेज है
- यूरोपीय संघ की सार्वजनिक खरीद, उद्यम बिक्री और बीमा हामीदारी के लिए ISO 27001 प्रमाणन की आवश्यकता बढ़ती जा रही है
आईएसओ 27001 फ्रेमवर्क संरचना
आईएसओ 27001:2022 उच्च-स्तरीय संरचना (एचएलएस) का अनुसरण करता है - सभी आईएसओ प्रबंधन प्रणाली मानकों (आईएसओ 9001, आईएसओ 14001, आईएसओ 22301, आदि) द्वारा साझा किया जाने वाला सामान्य ढांचा। यह एक साथ कई आईएसओ मानकों को लागू करने वाले संगठनों के लिए एकीकृत प्रबंधन प्रणाली को सक्षम बनाता है।
मुख्य खंड (4-10) - अनिवार्य आवश्यकताएँ:
| खण्ड | विषय |
|---|---|
| 4. संगठन का सन्दर्भ | आंतरिक/बाह्य संदर्भ, इच्छुक पार्टियों, दायरे को समझना |
| 5. नेतृत्व | शीर्ष प्रबंधन प्रतिबद्धता, आईएसएमएस नीति, भूमिकाएं और जिम्मेदारियां |
| 6. योजना | जोखिम मूल्यांकन, जोखिम उपचार, प्रयोज्यता का विवरण, उद्देश्य |
| 7. समर्थन | संसाधन, योग्यता, जागरूकता, संचार, दस्तावेजी जानकारी |
| 8. ऑपरेशन | जोखिम उपचार कार्यान्वयन, परिचालन योजना और नियंत्रण |
| 9. प्रदर्शन मूल्यांकन | निगरानी, माप, आंतरिक लेखापरीक्षा, प्रबंधन समीक्षा |
| 10. सुधार | गैर-अनुरूपताएं, सुधारात्मक कार्रवाई, निरंतर सुधार |
अनुलग्नक ए - संदर्भ नियंत्रण उद्देश्य: चार विषयों में 93 नियंत्रण जो सर्वोत्तम अभ्यास सुरक्षा नियंत्रण का प्रतिनिधित्व करते हैं। SoA यह निर्धारित करता है कि कौन सा अनुलग्नक A नियंत्रण आपके ISMS दायरे पर लागू होता है।
चरण 1 - आईएसएमएस स्कोप को परिभाषित करें
दायरा आपके आईएसएमएस की सीमाओं को परिभाषित करता है - क्या शामिल है और क्या बाहर रखा गया है। कार्यक्षेत्र संबंधी निर्णय मूल रूप से प्रमाणन की लागत और जटिलता को प्रभावित करते हैं।
दायरा परिभाषा संबंधी विचार:
- भौगोलिक सीमाएँ: विशिष्ट कार्यालय, डेटा केंद्र, दूरस्थ कर्मचारी
- संगठनात्मक सीमाएँ: विशिष्ट व्यावसायिक इकाइयाँ, विभाग, या सहायक कंपनियाँ
- दायरे में सूचना संपत्ति: विशिष्ट सिस्टम, डेटा सेट, प्रक्रियाएं
- दायरे से बाहर सिस्टम और तीसरे पक्ष के साथ इंटरफेस
सामान्य दायरे वाले दृष्टिकोण:
संकीर्ण दायरा: केवल विशिष्ट ग्राहक खंड या उत्पाद से सीधे संबंधित सिस्टम और प्रक्रियाओं को कवर करें। प्रमाणित करने के लिए तेज़ और सस्ता लेकिन ग्राहकों के लिए सीमित आश्वासन मूल्य।
व्यापक दायरा: पूरे संगठन को कवर करें। अधिकतम आश्वासन लेकिन उच्चतम कार्यान्वयन लागत।
क्लाउड-होस्टेड सेवा दायरा: SaaS कंपनियों के लिए, दायरा आम तौर पर क्लाउड इंफ्रास्ट्रक्चर, एप्लिकेशन कोड और सेवा का समर्थन करने वाली परिचालन प्रक्रियाओं को कवर करता है - भौतिक और बुनियादी ढांचे के नियंत्रण के लिए क्लाउड प्रदाता एसओसी 2/आईएसओ 27001 प्रमाणन का लाभ उठाता है।
दायरे का दस्तावेज़ीकरण किया जाना चाहिए और प्रमाणन दस्तावेज़ में शामिल किया जाना चाहिए। ऑडिटर दायरे की सीमा के भीतर नियंत्रणों का परीक्षण करेंगे और दायरे से बाहर के तत्वों के साथ इंटरफेस का सत्यापन करेंगे।
चरण 2 - सूचना सुरक्षा जोखिम मूल्यांकन
जोखिम मूल्यांकन (खंड 6.1.2) आईएसओ 27001 का पद्धतिगत आधार है। मानक के लिए एक प्रलेखित जोखिम मूल्यांकन प्रक्रिया की आवश्यकता होती है:
- सूचना सुरक्षा जोखिम मूल्यांकन प्रक्रिया स्थापित और लागू करता है
- आईएसएमएस दायरे में गोपनीयता, अखंडता और जानकारी की उपलब्धता के नुकसान से जुड़े जोखिमों की पहचान करता है
- जोखिमों का विश्लेषण और मूल्यांकन करता है
संपत्ति-आधारित जोखिम मूल्यांकन दृष्टिकोण:
- संपत्ति सूची: दायरे में आने वाली सभी सूचना परिसंपत्तियों की सूची बनाएं (सिस्टम, डेटाबेस, भौतिक दस्तावेज़, लोग, प्रक्रियाएं, तृतीय-पक्ष सेवाएँ)
- खतरे की पहचान: प्रत्येक संपत्ति के लिए, संभावित खतरों की पहचान करें (बाहरी हमला, अंदरूनी खतरा, आकस्मिक विलोपन, हार्डवेयर विफलता, प्राकृतिक आपदा, आदि)
- भेद्यता की पहचान: उन कमजोरियों की पहचान करें जिनका खतरों द्वारा फायदा उठाया जा सकता है (अप्रकाशित सॉफ़्टवेयर, कमजोर पासवर्ड, पहुंच नियंत्रण की कमी, आदि)
- प्रभाव मूल्यांकन: प्रत्येक खतरे/भेद्यता संयोजन के लिए, एक परिभाषित पैमाने का उपयोग करके गोपनीयता, अखंडता और उपलब्धता पर संभावित प्रभाव का आकलन करें (उदाहरण के लिए, 1-5)
- संभावना मूल्यांकन: एक परिभाषित पैमाने का उपयोग करके भेद्यता का फायदा उठाने वाले खतरे की संभावना का आकलन करें
- जोखिम रेटिंग: जोखिम = प्रभाव × संभावना की गणना करें। जोखिम स्वीकृति मानदंड स्थापित करें (उदाहरण के लिए, एक निश्चित स्कोर से ऊपर के जोखिमों के लिए उपचार की आवश्यकता होती है)
जोखिम रजिस्टर प्रारूप:
| संपत्ति | धमकी | भेद्यता | प्रभाव | संभावना | जोखिम स्कोर | उपचार |
|---|---|---|---|---|---|---|
| ग्राहक डेटाबेस | एसक्यूएल इंजेक्शन | अमान्य इनपुट | 5 | 3 | 15 | शमन करें (WAF + इनपुट सत्यापन) |
| कर्मचारी लैपटॉप | चोरी | कोई डिस्क एन्क्रिप्शन नहीं | 4 | 2 | 8 | मिटिगेट (पूर्ण डिस्क एन्क्रिप्शन) |
| उत्पादन सर्वर | रैनसमवेयर | कोई ऑफ़लाइन बैकअप नहीं | 5 | 2 | 10 | कम करें (ऑफ़लाइन बैकअप + ईडीआर) |
चरण 3 - जोखिम उपचार योजना और प्रयोज्यता का विवरण
आपकी स्वीकृति सीमा से ऊपर के प्रत्येक जोखिम के लिए, एक जोखिम उपचार विकल्प चुनें:
- कम करें: जोखिम को कम करने के लिए सुरक्षा नियंत्रण लागू करें
- स्वीकार: जोखिम की स्वीकृति का दस्तावेज़ (आमतौर पर कम प्रभाव, कम संभावना वाले जोखिमों के लिए)
- स्थानांतरण: किसी तीसरे पक्ष को जोखिम स्थानांतरित करना (बीमा, आउटसोर्सिंग)
- बचें: जोखिम उत्पन्न करने वाली गतिविधि बंद कर दें
प्रयोज्यता का विवरण (एसओए): केंद्रीय अनुपालन दस्तावेज़। 93 अनुलग्नक ए नियंत्रणों में से प्रत्येक के लिए, एसओए रिकॉर्ड करता है:
- क्या नियंत्रण आपके दायरे पर लागू है
- क्या यह वर्तमान में लागू है
- शामिल करने या बाहर करने का औचित्य
SoA वह चीज़ है जिसकी ऑडिटर सबसे अधिक बारीकी से जांच करते हैं। प्रत्येक बहिष्करण को उचित ठहराया जाना चाहिए - और दृढ़ता से उचित ठहराया जाना चाहिए। सामान्य वैध बहिष्करण: केवल-क्लाउड संगठनों (क्लाउड प्रदाता द्वारा प्रबंधित डेटा केंद्र) के लिए भौतिक सुरक्षा नियंत्रण, यदि कोई महत्वपूर्ण तृतीय-पक्ष संबंध मौजूद नहीं है तो आपूर्तिकर्ता प्रबंधन नियंत्रण करता है।
चरण 4 - अनुबंध ए नियंत्रण लागू करें
आईएसओ 27001:2022 अनुबंध ए 93 नियंत्रणों को चार विषयों में व्यवस्थित करता है। प्रौद्योगिकी-उन्मुख संगठनों के लिए मुख्य नियंत्रण:
संगठनात्मक नियंत्रण (37 नियंत्रण)
मुख्य नियंत्रणों में शामिल हैं:
- 5.1 सूचना सुरक्षा के लिए नीतियां: प्रलेखित, अनुमोदित, संचारित सुरक्षा नीति और विषय-विशिष्ट नीतियां
- 5.2 सूचना सुरक्षा भूमिकाएँ और जिम्मेदारियाँ: परिभाषित सीआईएसओ/सुरक्षा अधिकारी की भूमिका; प्रलेखित सुरक्षा जिम्मेदारियाँ
- 5.7 खतरे की खुफिया जानकारी (2022 में नया): संगठन के लिए प्रासंगिक खतरे की खुफिया जानकारी एकत्र करें और उसका विश्लेषण करें
- 5.9 सूचना और अन्य संबद्ध परिसंपत्तियों की सूची: स्वामित्व के साथ परिसंपत्ति सूची बनाए रखना
- 5.15 अभिगम नियंत्रण: अभिगम नियंत्रण नीति; न्यूनतम विशेषाधिकार; औपचारिक पहुँच प्रबंधन प्रक्रियाएँ
- 5.16 पहचान प्रबंधन: पूर्ण पहचान जीवनचक्र प्रबंधन (प्रावधान, संशोधन, प्रावधानीकरण)
- 5.17 प्रमाणीकरण जानकारी: पासवर्ड/प्रमाणीकरण क्रेडेंशियल प्रबंधन नीति और प्रक्रियाएं
- 5.20 आपूर्तिकर्ता समझौतों के भीतर सुरक्षा को संबोधित करना: आपूर्तिकर्ताओं और भागीदारों के साथ अनुबंधों में सुरक्षा आवश्यकताएँ
- 5.23 क्लाउड सेवाओं के उपयोग के लिए सूचना सुरक्षा (2022 में नया): क्लाउड सुरक्षा नीतियां, क्लाउड सेवा चयन, निगरानी
लोग नियंत्रण (8 नियंत्रण)
- 6.1 स्क्रीनिंग: रोजगार से पहले और उसके दौरान पृष्ठभूमि की जाँच
- 6.2 रोजगार के नियम और शर्तें: रोजगार अनुबंधों में सुरक्षा संबंधी शर्तें
- 6.3 सूचना सुरक्षा जागरूकता, शिक्षा और प्रशिक्षण: वार्षिक प्रशिक्षण कार्यक्रम, भूमिका-विशिष्ट प्रशिक्षण, फ़िशिंग सिमुलेशन
- 6.4 अनुशासनात्मक प्रक्रिया: सुरक्षा नीति के उल्लंघन के लिए औपचारिक प्रक्रिया
- 6.6 गोपनीयता या गैर-प्रकटीकरण समझौते: कर्मचारियों और ठेकेदारों के साथ एनडीए
भौतिक नियंत्रण (14 नियंत्रण)
- 7.1 भौतिक सुरक्षा परिधि: परिभाषित सुरक्षा परिधि; सुरक्षित क्षेत्रों तक पहुंच नियंत्रण
- 7.4 भौतिक सुरक्षा निगरानी (2022 में नया): सीसीटीवी, घुसपैठ का पता लगाना, एक्सेस लॉग
- 7.7 साफ़ डेस्क और साफ़ स्क्रीन: नीति और कार्यान्वयन; स्क्रीन लॉक; दिन के अंत में साफ़ डेस्क
- 7.10 स्टोरेज मीडिया: हटाने योग्य मीडिया का प्रबंधन; सुरक्षित निपटान
तकनीकी नियंत्रण (34 नियंत्रण)
- 8.2 विशेषाधिकार प्राप्त पहुंच अधिकार: विशेषाधिकार प्राप्त खाता प्रबंधन; बस-समय पर पहुंच; विशेषाधिकार प्राप्त सत्रों की निगरानी
- 8.4 स्रोत कोड तक पहुंच: स्रोत कोड तक प्रतिबंधित पहुंच; कोड समीक्षा आवश्यकताएँ
- 8.5 सुरक्षित प्रमाणीकरण: एमएफए; सुरक्षित प्रमाणीकरण प्रोटोकॉल
- 8.7 मैलवेयर से सुरक्षा: सभी अंतिम बिंदुओं पर एंटी-मैलवेयर; मेल और वेब फ़िल्टरिंग
- 8.8 तकनीकी कमजोरियों का प्रबंधन: भेद्यता स्कैनिंग; पैचिंग एसएलए; पैठ परीक्षण
- 8.9 कॉन्फ़िगरेशन प्रबंधन (2022 में नया): दस्तावेज़ीकृत सुरक्षा आधार रेखाएँ; कॉन्फ़िगरेशन प्रबंधन प्रक्रियाएं
- 8.10 सूचना विलोपन (2022 में नया): आवश्यकता न होने पर सुरक्षित विलोपन
- 8.11 डेटा मास्किंग (2022 में नया): गैर-उत्पादन वातावरण में संवेदनशील डेटा को मास्क करना
- 8.12 डेटा रिसाव की रोकथाम (2022 में नया): अनधिकृत डेटा घुसपैठ को रोकने के लिए डीएलपी उपकरण
- 8.15 लॉगिंग: व्यापक ऑडिट लॉगिंग; लॉग सुरक्षा; लॉग समीक्षा
- 8.16 निगरानी गतिविधियाँ (2022 में नया): नेटवर्क और सिस्टम निगरानी; सिएम
- 8.23 वेब फ़िल्टरिंग (2022 में नया): दुर्भावनापूर्ण सामग्री से बचाने के लिए वेब सामग्री फ़िल्टरिंग
- 8.25 सुरक्षित विकास जीवन चक्र: सुरक्षित एसडीएलसी नीति; विकास में सुरक्षा आवश्यकताएँ; कोड समीक्षा; एसएएसटी/डीएएसटी
- 8.26 अनुप्रयोग सुरक्षा आवश्यकताएँ: नए और उन्नत अनुप्रयोगों के लिए सुरक्षा आवश्यकताओं की परिभाषा
- 8.27 सुरक्षित सिस्टम आर्किटेक्चर और इंजीनियरिंग सिद्धांत (2022 में नया): डिज़ाइन द्वारा सुरक्षा; गहराई से बचाव
- 8.28 सुरक्षित कोडिंग (2022 में नया): सुरक्षित कोडिंग मानक; कोड समीक्षा; स्थैतिक विश्लेषण
- 8.29 विकास और स्वीकृति में सुरक्षा परीक्षण: एसडीएलसी के हिस्से के रूप में सुरक्षा परीक्षण; लाइव होने से पहले प्रवेश परीक्षण
- 8.34 ऑडिट परीक्षण के दौरान सूचना प्रणालियों की सुरक्षा: व्यवधान को कम करने के लिए ऑडिट गतिविधियों का समन्वय
चरण 5 - दस्तावेज़ीकरण और रिकॉर्ड
ISO 27001 के लिए विशिष्ट दस्तावेजी जानकारी (नीतियाँ और रिकॉर्ड) की आवश्यकता होती है। न्यूनतम दस्तावेज़ सेट:
अनिवार्य दस्तावेज़:
- आईएसएमएस स्कोप दस्तावेज़
- सूचना सुरक्षा नीति
- सूचना सुरक्षा जोखिम मूल्यांकन पद्धति
- जोखिम रजिस्टर और जोखिम उपचार योजना
- प्रयोज्यता का विवरण
- आंतरिक लेखापरीक्षा कार्यक्रम और रिपोर्ट
- प्रबंधन समीक्षा रिकॉर्ड
- प्रशिक्षण और जागरूकता के रिकॉर्ड
अनुशंसित विषय-विशिष्ट नीतियां:
- प्रवेश नियंत्रण नीति
- स्वीकार्य उपयोग नीति
- परिसंपत्ति प्रबंधन नीति
- व्यवसाय निरंतरता और डीआर नीति
- प्रबंधन नीति बदलें
- क्रिप्टोग्राफी और प्रमुख प्रबंधन नीति
- घटना प्रतिक्रिया नीति
- दूरस्थ कार्य नीति
- आपूर्तिकर्ता सुरक्षा नीति
- भेद्यता प्रबंधन नीति
चरण 6 - आंतरिक लेखापरीक्षा कार्यक्रम
खंड 9.2 में सभी आईएसएमएस आवश्यकताओं और अनुबंध ए नियंत्रणों को कवर करते हुए नियोजित अंतराल पर आयोजित आंतरिक ऑडिट के एक कार्यक्रम की आवश्यकता होती है। आंतरिक लेखा परीक्षकों को सक्षम और वस्तुनिष्ठ होना चाहिए (अपने स्वयं के काम का ऑडिट नहीं करना चाहिए)।
आंतरिक लेखापरीक्षा दृष्टिकोण:
- सभी आईएसएमएस खंडों और सभी लागू अनुबंध ए को एक परिभाषित चक्र पर नियंत्रित करने वाली वार्षिक आंतरिक लेखापरीक्षा योजना
- जोखिम-आधारित नमूनाकरण: उच्च जोखिम वाले क्षेत्रों में अधिक बार परीक्षण करें
- दस्तावेज़ साक्ष्य संग्रह और गैर-अनुरूपता रिकॉर्डिंग
- प्रबंधन को रिपोर्ट करें; बंद करने के लिए सुधारात्मक कार्रवाइयों को ट्रैक करें
विश्वसनीयता के लिए आंतरिक लेखा परीक्षकों को प्रमाणित (आईएसओ 27001 लीड ऑडिटर या आंतरिक लेखा परीक्षक प्रशिक्षण) होना चाहिए। कई संगठन दूसरे विभाग के दृष्टिकोण (आईटी ऑडिटिंग सुरक्षा, सुरक्षा ऑडिटिंग आईटी) का उपयोग करते हैं या निष्पक्षता के लिए एक बाहरी फर्म को नियुक्त करते हैं।
चरण 7 — प्रबंधन समीक्षा
खंड 9.3 में शीर्ष प्रबंधन को योजनाबद्ध अंतराल (आमतौर पर वार्षिक) पर आईएसएमएस की समीक्षा करने की आवश्यकता होती है। प्रबंधन समीक्षा में शामिल होना चाहिए:
- पिछली समीक्षाओं से कार्रवाई की स्थिति
- आईएसएमएस से संबंधित बाहरी और आंतरिक मुद्दों में बदलाव
- आईएसएमएस प्रदर्शन पर प्रतिक्रिया (सुरक्षा घटनाएं, ऑडिट परिणाम, निगरानी, केपीआई)
- इच्छुक पार्टियों से प्रतिक्रिया
- जोखिम मूल्यांकन और जोखिम उपचार योजना की स्थिति के परिणाम -निरंतर सुधार के अवसर
प्रबंधन समीक्षा आउटपुट: निरंतर सुधार के अवसरों, आईएसएमएस परिवर्तन, संसाधन आवश्यकताओं पर निर्णय।
प्रमाणन प्रक्रिया
एक प्रमाणन निकाय का चयन करें: एक राष्ट्रीय मान्यता निकाय (यूके में यूकेएएस, जर्मनी में डीएकेकेएस, अमेरिका में एएनएबी, ऑस्ट्रेलिया/एनजेड में जेएएस-एएनजेड) द्वारा मान्यता प्राप्त होना चाहिए। वैश्विक स्वीकृति के लिए IAF मान्यता की जाँच करें।
चरण 1 ऑडिट (दस्तावेज़ीकरण समीक्षा): चरण 2 के लिए तैयारी की पुष्टि करने के लिए ऑडिटर आपके आईएसएमएस दस्तावेज़ - दायरा, एसओए, जोखिम मूल्यांकन, नीतियों - की समीक्षा करता है। आमतौर पर 1-2 दिन। आउटपुट: चरण 2 से पहले संबोधित किए जाने वाले निष्कर्षों/अंतराल की सूची।
अंतर निवारण: चरण 1 के निष्कर्षों को संबोधित करें। पहचाने गए अंतराल के आधार पर 4-8 सप्ताह लग सकते हैं।
स्टेज 2 ऑडिट (कार्यान्वयन ऑडिट): वास्तविक आईएसएमएस कार्यान्वयन का ऑन-साइट (या रिमोट) ऑडिट। लेखा परीक्षक नियंत्रण का परीक्षण करते हैं, कर्मचारियों का साक्षात्कार लेते हैं, साक्ष्य रिकॉर्ड की समीक्षा करते हैं। कार्यक्षेत्र और संगठन के आकार के आधार पर आमतौर पर 3-10 ऑडिट दिन। गैर-अनुरूपताओं (बड़ी या छोटी) को संबोधित किया जाना चाहिए।
प्रमाणन निर्णय: प्रमाणन निकाय ISO 27001:2022 प्रमाणपत्र जारी करता है, जो 3 वर्षों के लिए वैध है। प्रमाणपत्र में स्कोप स्टेटमेंट शामिल है।
निगरानी ऑडिट: प्रमाणपत्र चक्र के वर्ष 1 और 2 में वार्षिक निगरानी ऑडिट (प्रमाणन ऑडिट की तुलना में हल्का)। वर्ष 3 में पुन: प्रमाणन लेखापरीक्षा में संपूर्ण आईएसएमएस शामिल है।
ISO 27001 कार्यान्वयन चेकलिस्ट
- आईएसएमएस का दायरा परिभाषित और प्रलेखित
- सूचना सुरक्षा नीति शीर्ष प्रबंधन द्वारा अनुमोदित
- जोखिम मूल्यांकन पद्धति को प्रलेखित और लागू किया गया
- सभी महत्वपूर्ण जोखिमों के लिए जोखिम रेटिंग के साथ पूर्ण जोखिम रजिस्टर
- सभी अस्वीकार्य जोखिमों के लिए जोखिम उपचार योजना विकसित की गई
- सभी 93 अनुबंध ए नियंत्रणों के लिए प्रयोज्यता का विवरण पूरा हो गया है
- सभी लागू अनुलग्नक ए नियंत्रण लागू किए गए
- दस्तावेज़ीकरण सेट पूर्ण (नीतियाँ, प्रक्रियाएँ, रिकॉर्ड)
- आंतरिक लेखापरीक्षा कार्यक्रम स्थापित किया गया और पहला लेखापरीक्षा पूरा हुआ
- आंतरिक ऑडिट से लेकर समापन तक सुधारात्मक कार्रवाइयों पर नज़र रखी गई
- प्रबंधन समीक्षा रिकॉर्ड के साथ पूरी हुई
- कर्मचारी सुरक्षा जागरूकता प्रशिक्षण पूरा और प्रलेखित
- मान्यता प्राप्त प्रमाणन निकाय का चयन किया गया और चरण 1 ऑडिट निर्धारित किया गया
- चरण 1 के निष्कर्षों पर चर्चा की गई
- चरण 2 प्रमाणन ऑडिट पूरा हुआ
अक्सर पूछे जाने वाले प्रश्न
आईएसओ 27001 कार्यान्वयन में कितना समय लगता है?
उचित सुरक्षा आधार रेखा से शुरू होने वाली मध्यम आकार की प्रौद्योगिकी कंपनी के लिए, किकऑफ़ से प्रमाणन तक कार्यान्वयन में आम तौर पर 6-12 महीने लगते हैं। परिपक्व सुरक्षा प्रथाओं वाले संगठन 4-6 महीनों में प्रमाणन प्राप्त कर सकते हैं। जटिल दायरे, एकाधिक स्थानों या व्यापक विरासत दस्तावेज़ीकरण वाले बड़े उद्यमों में 12-18 महीने लग सकते हैं। समयरेखा के प्रमुख चालक: कार्यक्षेत्र जटिलता, मौजूदा दस्तावेज़ीकरण परिपक्वता, संसाधन उपलब्धता और प्रमाणन निकाय शेड्यूलिंग।
आईएसओ 27001 और आईएसओ 27002 के बीच क्या अंतर है?
ISO 27001 प्रबंधन प्रणाली मानक है जिसके आधार पर संगठनों को प्रमाणित किया जाता है - यह ISMS की स्थापना, कार्यान्वयन, रखरखाव और सुधार के लिए आवश्यकताओं को निर्दिष्ट करता है। आईएसओ 27002 एक मार्गदर्शन दस्तावेज़ है जो 93 अनुबंध ए नियंत्रणों में से प्रत्येक को लागू करने पर सर्वोत्तम अभ्यास सलाह प्रदान करता है। आईएसओ 27001 अनुबंध ए में नियंत्रण शामिल हैं (मानक रूप से); आईएसओ 27002 बताता है कि उन्हें कैसे लागू किया जाए (जानकारीपूर्ण ढंग से)। आईएसओ 27001 प्रमाणन आवश्यक है; ISO 27002 कार्यान्वयन पुस्तिका है। आप "आईएसओ 27002 प्रमाणित" नहीं हो सकते - केवल आईएसओ 27001 प्रमाणन मौजूद है।
क्या हम अपने संगठन के केवल एक हिस्से के लिए आईएसओ 27001 प्रमाणन प्राप्त कर सकते हैं?
हां - ISO 27001 किसी विशिष्ट सेवा, उत्पाद लाइन, विभाग या स्थान तक पहुंच की अनुमति देता है। एक SaaS कंपनी अपने ISO 27001 प्रमाणन का दायरा बैक-ऑफ़िस HR और वित्त प्रणालियों को छोड़कर अपने क्लाउड-होस्टेड उत्पाद प्लेटफ़ॉर्म तक सीमित कर सकती है। प्रमाणन प्रमाणपत्र दायरा निर्दिष्ट करेगा, और ग्राहक और लेखा परीक्षक समझते हैं कि नियंत्रण बताए गए दायरे की सीमा के भीतर लागू होते हैं। एक संकीर्ण दायरे का अर्थ है तेज़, सस्ता प्रमाणीकरण, लेकिन उन ग्राहकों को कम आश्वासन प्रदान करता है जो आपके पूरे संगठन में विश्वास चाहते हैं।
आईएसओ 27001 एसओसी 2 से किस प्रकार भिन्न है?
दोनों सूचना सुरक्षा को संबोधित करते हैं लेकिन विभिन्न रूपरेखाओं और दर्शकों से। आईएसओ 27001 एक अंतरराष्ट्रीय प्रबंधन प्रणाली मानक है जो तीन साल का प्रमाणपत्र प्रदान करता है; मान्यता प्राप्त प्रमाणन निकायों द्वारा ऑडिट आयोजित किए जाते हैं; इसे यूरोप, एशिया-प्रशांत और मध्य पूर्व खरीद में व्यापक रूप से मान्यता प्राप्त है। एसओसी 2 एक यूएस-मूल सत्यापन ढांचा है जो ग्राहक लेखा परीक्षकों द्वारा समीक्षा की गई एक रिपोर्ट (टाइप I या टाइप II) तैयार करता है; यह ट्रस्ट सेवा मानदंड पर केंद्रित है; इसकी मुख्य रूप से अमेरिकी उद्यम खरीदारों को आवश्यकता होती है। नियंत्रण काफी हद तक ओवरलैप होते हैं। कई संगठन दोनों का अनुसरण करते हैं - अमेरिकी उद्यम बिक्री के लिए एसओसी 2, अंतरराष्ट्रीय और सरकारी खरीद के लिए आईएसओ 27001।
2013 की तुलना में आईएसओ 27001:2022 में मुख्य परिवर्तन क्या हैं?
मुख्य परिवर्तन: (1) अनुबंध ए को 14 श्रेणियों/114 नियंत्रणों से 4 थीम/93 नियंत्रणों तक पुनर्गठित किया गया; (2) 11 नए नियंत्रण जोड़े गए: खतरे की खुफिया जानकारी, व्यापार निरंतरता के लिए आईसीटी तैयारी, भौतिक सुरक्षा निगरानी, कॉन्फ़िगरेशन प्रबंधन, सूचना विलोपन, डेटा मास्किंग, डेटा रिसाव की रोकथाम, निगरानी गतिविधियां, वेब फ़िल्टरिंग, सुरक्षित कोडिंग और क्लाउड सेवाओं के लिए सूचना सुरक्षा; (3) कोई नियंत्रण नहीं हटाया गया - मौजूदा नियंत्रणों को विलय और पुनर्गठित किया गया; (4) खंड 6.3 में प्रबंधित आईएसएमएस परिवर्तनों के लिए "परिवर्तन की योजना" जोड़ा गया; (5) स्पष्टता के लिए शब्दों को अद्यतन किया जाता है। मौलिक प्रबंधन प्रणाली संरचना (खंड 4-10) काफी हद तक अपरिवर्तित है।
आईएसओ 27001 प्रमाणन की लागत कितनी है?
कुल लागत संगठन के आकार और दायरे के अनुसार काफी भिन्न होती है: प्रमाणन निकाय ऑडिट शुल्क: $8,000- $50,000+, दायरे और ऑडिट दिनों के आधार पर; परामर्श (वैकल्पिक): सहायता प्राप्त कार्यान्वयन के लिए $30,000-$150,000; आंतरिक स्टाफ का समय: कार्यान्वयन और दस्तावेज़ीकरण में 200-1,000+ घंटे; टूलींग (जीआरसी प्लेटफ़ॉर्म, भेद्यता स्कैनिंग, एसआईईएम): $10,000-$100,000/वर्ष; वार्षिक निगरानी ऑडिट: चरण 2 लागत का लगभग 30-50%। संकीर्ण दायरे वाले छोटे संगठन कुल $40,000-$80,000 में प्रमाणन प्राप्त कर सकते हैं। मध्यम आकार के संगठन आमतौर पर अपने पहले प्रमाणन चक्र में $100,000-$300,000 का निवेश करते हैं।
अगले चरण
ISO 27001 प्रमाणन एक रणनीतिक निवेश है जो ग्राहक विश्वास में वृद्धि, उद्यम बिक्री में तेजी, कम साइबर बीमा प्रीमियम और संरचित सुरक्षा सुधार के माध्यम से भुगतान करता है। प्रौद्योगिकी कंपनियों के लिए, एसओसी 2 के साथ आईएसओ 27001 को लागू करना उद्यम खरीदार सुरक्षा आवश्यकताओं की व्यापक वैश्विक कवरेज प्रदान करता है।
ECOSIRE की टीम क्लाउड वातावरण, एप्लिकेशन सुरक्षा और प्रबंधित सेवा वितरण में तकनीकी नियंत्रण कार्यान्वयन में विशेषज्ञता के साथ, प्रौद्योगिकी कंपनियों को ISO 27001-संरेखित सुरक्षा प्रबंधन कार्यक्रमों को लागू करने में मदद करती है।
आरंभ करें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है। ISO 27001 प्रमाणन आवश्यकताओं की पुष्टि किसी मान्यता प्राप्त प्रमाणन निकाय से की जानी चाहिए। विशिष्ट कार्यान्वयन आवश्यकताएँ संगठन के आकार, दायरे और उद्योग के अनुसार भिन्न होती हैं।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
2026 में ओडू ईआरपी के लिए संपूर्ण गाइड: वह सब कुछ जो आपको जानना आवश्यक है
मॉड्यूल, मूल्य निर्धारण, कार्यान्वयन, अनुकूलन और एकीकरण को कवर करने वाला व्यापक ओडू ईआरपी गाइड। जानें कि 2026 में 12M+ उपयोगकर्ताओं ने Odoo को क्यों चुना।
ईआरपी गो-लाइव चेकलिस्ट: 50-प्वाइंट लॉन्च रेडीनेस गाइड
व्यापक 50-पॉइंट ईआरपी गो-लाइव चेकलिस्ट जिसमें प्री-लॉन्च डेटा सत्यापन, गो-लाइव डे कटओवर प्रक्रियाएं और लॉन्च के बाद स्थिरीकरण चरण शामिल हैं।
ईआरपी आरओआई की गणना कैसे करें: फॉर्मूला, उदाहरण और मुफ्त कैलकुलेटर
हमारे फॉर्मूले, कंपनी के आकार, लागत श्रेणियों, लाभ मात्रा का ठहराव, एनपीवी विश्लेषण और पेबैक अवधि पद्धति के वास्तविक उदाहरणों के साथ ईआरपी आरओआई की गणना करें।
Compliance & Regulation से और अधिक
ई-कॉमर्स के लिए साइबर सुरक्षा: 2026 में अपने व्यवसाय को सुरक्षित रखें
2026 के लिए पूर्ण ईकॉमर्स साइबर सुरक्षा गाइड। पीसीआई डीएसएस 4.0, डब्ल्यूएएफ सेटअप, बॉट सुरक्षा, भुगतान धोखाधड़ी की रोकथाम, सुरक्षा हेडर और घटना प्रतिक्रिया।
रासायनिक उद्योग के लिए ईआरपी: सुरक्षा, अनुपालन और बैच प्रोसेसिंग
ईआरपी सिस्टम रासायनिक कंपनियों के लिए एसडीएस दस्तावेज़, पहुंच और जीएचएस अनुपालन, बैच प्रोसेसिंग, गुणवत्ता नियंत्रण, खतरनाक शिपिंग और फॉर्मूला प्रबंधन कैसे प्रबंधित करते हैं।
आयात/निर्यात व्यापार के लिए ईआरपी: बहु-मुद्रा, रसद और अनुपालन
ईआरपी सिस्टम ट्रेडिंग कंपनियों के लिए क्रेडिट पत्र, सीमा शुल्क दस्तावेज़ीकरण, इनकोटर्म्स, बहु-मुद्रा पी एंड एल, कंटेनर ट्रैकिंग और शुल्क गणना को कैसे संभालते हैं।
ईआरपी के साथ स्थिरता और ईएसजी रिपोर्टिंग: अनुपालन गाइड 2026
ईआरपी सिस्टम के साथ 2026 में ईएसजी रिपोर्टिंग अनुपालन पर नेविगेट करें। सीएसआरडी, जीआरआई, एसएएसबी, स्कोप 1/2/3 उत्सर्जन, कार्बन ट्रैकिंग और ओडू स्थिरता को कवर करता है।
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.