हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंISO 27001 दुनिया का सबसे व्यापक रूप से मान्यता प्राप्त सूचना सुरक्षा प्रबंधन मानक है, जिसके विश्व स्तर पर 70,000 से अधिक संगठन प्रमाणित हैं। जीडीपीआर या पीसीआई डीएसएस जैसे निर्देशात्मक नियमों के विपरीत, आईएसओ 27001 व्यवस्थित सूचना सुरक्षा प्रबंधन के लिए एक जोखिम-आधारित ढांचा प्रदान करता है - जो किसी भी आकार, उद्योग या भूगोल के संगठनों के लिए अनुकूल है। एक वैध ISO 27001 प्रमाणन ग्राहकों, भागीदारों, नियामकों और बीमाकर्ताओं को संकेत देता है कि आपका संगठन एक संरचित, लेखापरीक्षित और लगातार सुधार प्रबंधन प्रणाली के माध्यम से सूचना सुरक्षा जोखिमों का प्रबंधन करता है।
वर्तमान संस्करण आईएसओ/आईईसी 27001:2022 है, जो अक्टूबर 2022 में प्रकाशित हुआ, जिसने आईएसओ/आईईसी 27001:2013 को प्रतिस्थापित किया। 2013 प्रमाणन वाले संगठनों के पास 2022 संस्करण में परिवर्तन के लिए 31 अक्टूबर, 2025 तक का समय था। सभी नए प्रमाणपत्र 2022 तक जारी किए जाएंगे।
मुख्य बातें
- आईएसओ 27001:2022 ने अनुबंध ए नियंत्रणों को 114 से घटाकर 93 कर दिया, चार विषयों में पुनर्गठित किया: संगठनात्मक (37), लोग (8), भौतिक (14), तकनीकी (34)
- नए 2022 नियंत्रणों में शामिल हैं: खतरे की खुफिया जानकारी, व्यापार निरंतरता के लिए आईसीटी तैयारी, भौतिक सुरक्षा निगरानी, सुरक्षित कोडिंग, वेब फ़िल्टरिंग, डीएलपी और डेटा मास्किंग
- आईएसएमएस (सूचना सुरक्षा प्रबंधन प्रणाली) का दायरा, दस्तावेजीकरण, जोखिम-मूल्यांकन और एक मान्यता प्राप्त प्रमाणन निकाय द्वारा प्रमाणित होना चाहिए
- प्रमाणन के लिए आवश्यक है: चरण 1 (दस्तावेज़ीकरण समीक्षा) और चरण 2 (कार्यान्वयन ऑडिट) - आम तौर पर तैयारी से प्रमाणन तक 3-6 महीने
- निरंतर सुधार अनिवार्य है: त्रैमासिक आंतरिक ऑडिट, वार्षिक प्रबंधन समीक्षा, वार्षिक निगरानी ऑडिट के साथ तीन साल का प्रमाणन चक्र
- प्रयोज्यता विवरण (एसओए) आपके जोखिम उपचार निर्णयों को अनुबंध ए नियंत्रणों से जोड़ने वाला महत्वपूर्ण दस्तावेज है
- यूरोपीय संघ की सार्वजनिक खरीद, उद्यम बिक्री और बीमा हामीदारी के लिए ISO 27001 प्रमाणन की आवश्यकता बढ़ती जा रही है
आईएसओ 27001 फ्रेमवर्क संरचना
आईएसओ 27001:2022 उच्च-स्तरीय संरचना (एचएलएस) का अनुसरण करता है - सभी आईएसओ प्रबंधन प्रणाली मानकों (आईएसओ 9001, आईएसओ 14001, आईएसओ 22301, आदि) द्वारा साझा किया जाने वाला सामान्य ढांचा। यह एक साथ कई आईएसओ मानकों को लागू करने वाले संगठनों के लिए एकीकृत प्रबंधन प्रणाली को सक्षम बनाता है।
मुख्य खंड (4-10) - अनिवार्य आवश्यकताएँ:
| खण्ड | विषय |
|---|---|
| 4. संगठन का सन्दर्भ | आंतरिक/बाह्य संदर्भ, इच्छुक पार्टियों, दायरे को समझना |
| 5. नेतृत्व | शीर्ष प्रबंधन प्रतिबद्धता, आईएसएमएस नीति, भूमिकाएं और जिम्मेदारियां |
| 6. योजना | जोखिम मूल्यांकन, जोखिम उपचार, प्रयोज्यता का विवरण, उद्देश्य |
| 7. समर्थन | संसाधन, योग्यता, जागरूकता, संचार, दस्तावेजी जानकारी |
| 8. ऑपरेशन | जोखिम उपचार कार्यान्वयन, परिचालन योजना और नियंत्रण |
| 9. प्रदर्शन मूल्यांकन | निगरानी, माप, आंतरिक लेखापरीक्षा, प्रबंधन समीक्षा |
| 10. सुधार | गैर-अनुरूपताएं, सुधारात्मक कार्रवाई, निरंतर सुधार |
अनुलग्नक ए - संदर्भ नियंत्रण उद्देश्य: चार विषयों में 93 नियंत्रण जो सर्वोत्तम अभ्यास सुरक्षा नियंत्रण का प्रतिनिधित्व करते हैं। SoA यह निर्धारित करता है कि कौन सा अनुलग्नक A नियंत्रण आपके ISMS दायरे पर लागू होता है।
चरण 1 - आईएसएमएस स्कोप को परिभाषित करें
दायरा आपके आईएसएमएस की सीमाओं को परिभाषित करता है - क्या शामिल है और क्या बाहर रखा गया है। कार्यक्षेत्र संबंधी निर्णय मूल रूप से प्रमाणन की लागत और जटिलता को प्रभावित करते हैं।
दायरा परिभाषा संबंधी विचार:
- भौगोलिक सीमाएँ: विशिष्ट कार्यालय, डेटा केंद्र, दूरस्थ कर्मचारी
- संगठनात्मक सीमाएँ: विशिष्ट व्यावसायिक इकाइयाँ, विभाग, या सहायक कंपनियाँ
- दायरे में सूचना संपत्ति: विशिष्ट सिस्टम, डेटा सेट, प्रक्रियाएं
- दायरे से बाहर सिस्टम और तीसरे पक्ष के साथ इंटरफेस
सामान्य दायरे वाले दृष्टिकोण:
संकीर्ण दायरा: केवल विशिष्ट ग्राहक खंड या उत्पाद से सीधे संबंधित सिस्टम और प्रक्रियाओं को कवर करें। प्रमाणित करने के लिए तेज़ और सस्ता लेकिन ग्राहकों के लिए सीमित आश्वासन मूल्य।
व्यापक दायरा: पूरे संगठन को कवर करें। अधिकतम आश्वासन लेकिन उच्चतम कार्यान्वयन लागत।
क्लाउड-होस्टेड सेवा दायरा: SaaS कंपनियों के लिए, दायरा आम तौर पर क्लाउड इंफ्रास्ट्रक्चर, एप्लिकेशन कोड और सेवा का समर्थन करने वाली परिचालन प्रक्रियाओं को कवर करता है - भौतिक और बुनियादी ढांचे के नियंत्रण के लिए क्लाउड प्रदाता एसओसी 2/आईएसओ 27001 प्रमाणन का लाभ उठाता है।
दायरे का दस्तावेज़ीकरण किया जाना चाहिए और प्रमाणन दस्तावेज़ में शामिल किया जाना चाहिए। ऑडिटर दायरे की सीमा के भीतर नियंत्रणों का परीक्षण करेंगे और दायरे से बाहर के तत्वों के साथ इंटरफेस का सत्यापन करेंगे।
चरण 2 - सूचना सुरक्षा जोखिम मूल्यांकन
जोखिम मूल्यांकन (खंड 6.1.2) आईएसओ 27001 का पद्धतिगत आधार है। मानक के लिए एक प्रलेखित जोखिम मूल्यांकन प्रक्रिया की आवश्यकता होती है:
- सूचना सुरक्षा जोखिम मूल्यांकन प्रक्रिया स्थापित और लागू करता है
- आईएसएमएस दायरे में गोपनीयता, अखंडता और जानकारी की उपलब्धता के नुकसान से जुड़े जोखिमों की पहचान करता है
- जोखिमों का विश्लेषण और मूल्यांकन करता है
संपत्ति-आधारित जोखिम मूल्यांकन दृष्टिकोण:
- संपत्ति सूची: दायरे में आने वाली सभी सूचना परिसंपत्तियों की सूची बनाएं (सिस्टम, डेटाबेस, भौतिक दस्तावेज़, लोग, प्रक्रियाएं, तृतीय-पक्ष सेवाएँ)
- खतरे की पहचान: प्रत्येक संपत्ति के लिए, संभावित खतरों की पहचान करें (बाहरी हमला, अंदरूनी खतरा, आकस्मिक विलोपन, हार्डवेयर विफलता, प्राकृतिक आपदा, आदि)
- भेद्यता की पहचान: उन कमजोरियों की पहचान करें जिनका खतरों द्वारा फायदा उठाया जा सकता है (अप्रकाशित सॉफ़्टवेयर, कमजोर पासवर्ड, पहुंच नियंत्रण की कमी, आदि)
- प्रभाव मूल्यांकन: प्रत्येक खतरे/भेद्यता संयोजन के लिए, एक परिभाषित पैमाने का उपयोग करके गोपनीयता, अखंडता और उपलब्धता पर संभावित प्रभाव का आकलन करें (उदाहरण के लिए, 1-5)
- संभावना मूल्यांकन: एक परिभाषित पैमाने का उपयोग करके भेद्यता का फायदा उठाने वाले खतरे की संभावना का आकलन करें
- जोखिम रेटिंग: जोखिम = प्रभाव × संभावना की गणना करें। जोखिम स्वीकृति मानदंड स्थापित करें (उदाहरण के लिए, एक निश्चित स्कोर से ऊपर के जोखिमों के लिए उपचार की आवश्यकता होती है)
जोखिम रजिस्टर प्रारूप:
| संपत्ति | धमकी | भेद्यता | प्रभाव | संभावना | जोखिम स्कोर | उपचार |
|---|---|---|---|---|---|---|
| ग्राहक डेटाबेस | एसक्यूएल इंजेक्शन | अमान्य इनपुट | 5 | 3 | 15 | शमन करें (WAF + इनपुट सत्यापन) |
| कर्मचारी लैपटॉप | चोरी | कोई डिस्क एन्क्रिप्शन नहीं | 4 | 2 | 8 | मिटिगेट (पूर्ण डिस्क एन्क्रिप्शन) |
| उत्पादन सर्वर | रैनसमवेयर | कोई ऑफ़लाइन बैकअप नहीं | 5 | 2 | 10 | कम करें (ऑफ़लाइन बैकअप + ईडीआर) |
चरण 3 - जोखिम उपचार योजना और प्रयोज्यता का विवरण
आपकी स्वीकृति सीमा से ऊपर के प्रत्येक जोखिम के लिए, एक जोखिम उपचार विकल्प चुनें:
- कम करें: जोखिम को कम करने के लिए सुरक्षा नियंत्रण लागू करें
- स्वीकार: जोखिम की स्वीकृति का दस्तावेज़ (आमतौर पर कम प्रभाव, कम संभावना वाले जोखिमों के लिए)
- स्थानांतरण: किसी तीसरे पक्ष को जोखिम स्थानांतरित करना (बीमा, आउटसोर्सिंग)
- बचें: जोखिम उत्पन्न करने वाली गतिविधि बंद कर दें
प्रयोज्यता का विवरण (एसओए): केंद्रीय अनुपालन दस्तावेज़। 93 अनुलग्नक ए नियंत्रणों में से प्रत्येक के लिए, एसओए रिकॉर्ड करता है:
- क्या नियंत्रण आपके दायरे पर लागू है
- क्या यह वर्तमान में लागू है
- शामिल करने या बाहर करने का औचित्य
SoA वह चीज़ है जिसकी ऑडिटर सबसे अधिक बारीकी से जांच करते हैं। प्रत्येक बहिष्करण को उचित ठहराया जाना चाहिए - और दृढ़ता से उचित ठहराया जाना चाहिए। सामान्य वैध बहिष्करण: केवल-क्लाउड संगठनों (क्लाउड प्रदाता द्वारा प्रबंधित डेटा केंद्र) के लिए भौतिक सुरक्षा नियंत्रण, यदि कोई महत्वपूर्ण तृतीय-पक्ष संबंध मौजूद नहीं है तो आपूर्तिकर्ता प्रबंधन नियंत्रण करता है।
चरण 4 - अनुबंध ए नियंत्रण लागू करें
आईएसओ 27001:2022 अनुबंध ए 93 नियंत्रणों को चार विषयों में व्यवस्थित करता है। प्रौद्योगिकी-उन्मुख संगठनों के लिए मुख्य नियंत्रण:
संगठनात्मक नियंत्रण (37 नियंत्रण)
मुख्य नियंत्रणों में शामिल हैं:
- 5.1 सूचना सुरक्षा के लिए नीतियां: प्रलेखित, अनुमोदित, संचारित सुरक्षा नीति और विषय-विशिष्ट नीतियां
- 5.2 सूचना सुरक्षा भूमिकाएँ और जिम्मेदारियाँ: परिभाषित सीआईएसओ/सुरक्षा अधिकारी की भूमिका; प्रलेखित सुरक्षा जिम्मेदारियाँ
- 5.7 खतरे की खुफिया जानकारी (2022 में नया): संगठन के लिए प्रासंगिक खतरे की खुफिया जानकारी एकत्र करें और उसका विश्लेषण करें
- 5.9 सूचना और अन्य संबद्ध परिसंपत्तियों की सूची: स्वामित्व के साथ परिसंपत्ति सूची बनाए रखना
- 5.15 अभिगम नियंत्रण: अभिगम नियंत्रण नीति; न्यूनतम विशेषाधिकार; औपचारिक पहुँच प्रबंधन प्रक्रियाएँ
- 5.16 पहचान प्रबंधन: पूर्ण पहचान जीवनचक्र प्रबंधन (प्रावधान, संशोधन, प्रावधानीकरण)
- 5.17 प्रमाणीकरण जानकारी: पासवर्ड/प्रमाणीकरण क्रेडेंशियल प्रबंधन नीति और प्रक्रियाएं
- 5.20 आपूर्तिकर्ता समझौतों के भीतर सुरक्षा को संबोधित करना: आपूर्तिकर्ताओं और भागीदारों के साथ अनुबंधों में सुरक्षा आवश्यकताएँ
- 5.23 क्लाउड सेवाओं के उपयोग के लिए सूचना सुरक्षा (2022 में नया): क्लाउड सुरक्षा नीतियां, क्लाउड सेवा चयन, निगरानी
लोग नियंत्रण (8 नियंत्रण)
- 6.1 स्क्रीनिंग: रोजगार से पहले और उसके दौरान पृष्ठभूमि की जाँच
- 6.2 रोजगार के नियम और शर्तें: रोजगार अनुबंधों में सुरक्षा संबंधी शर्तें
- 6.3 सूचना सुरक्षा जागरूकता, शिक्षा और प्रशिक्षण: वार्षिक प्रशिक्षण कार्यक्रम, भूमिका-विशिष्ट प्रशिक्षण, फ़िशिंग सिमुलेशन
- 6.4 अनुशासनात्मक प्रक्रिया: सुरक्षा नीति के उल्लंघन के लिए औपचारिक प्रक्रिया
- 6.6 गोपनीयता या गैर-प्रकटीकरण समझौते: कर्मचारियों और ठेकेदारों के साथ एनडीए
भौतिक नियंत्रण (14 नियंत्रण)
- 7.1 भौतिक सुरक्षा परिधि: परिभाषित सुरक्षा परिधि; सुरक्षित क्षेत्रों तक पहुंच नियंत्रण
- 7.4 भौतिक सुरक्षा निगरानी (2022 में नया): सीसीटीवी, घुसपैठ का पता लगाना, एक्सेस लॉग
- 7.7 साफ़ डेस्क और साफ़ स्क्रीन: नीति और कार्यान्वयन; स्क्रीन लॉक; दिन के अंत में साफ़ डेस्क
- 7.10 स्टोरेज मीडिया: हटाने योग्य मीडिया का प्रबंधन; सुरक्षित निपटान
तकनीकी नियंत्रण (34 नियंत्रण)
- 8.2 विशेषाधिकार प्राप्त पहुंच अधिकार: विशेषाधिकार प्राप्त खाता प्रबंधन; बस-समय पर पहुंच; विशेषाधिकार प्राप्त सत्रों की निगरानी
- 8.4 स्रोत कोड तक पहुंच: स्रोत कोड तक प्रतिबंधित पहुंच; कोड समीक्षा आवश्यकताएँ
- 8.5 सुरक्षित प्रमाणीकरण: एमएफए; सुरक्षित प्रमाणीकरण प्रोटोकॉल
- 8.7 मैलवेयर से सुरक्षा: सभी अंतिम बिंदुओं पर एंटी-मैलवेयर; मेल और वेब फ़िल्टरिंग
- 8.8 तकनीकी कमजोरियों का प्रबंधन: भेद्यता स्कैनिंग; पैचिंग एसएलए; पैठ परीक्षण
- 8.9 कॉन्फ़िगरेशन प्रबंधन (2022 में नया): दस्तावेज़ीकृत सुरक्षा आधार रेखाएँ; कॉन्फ़िगरेशन प्रबंधन प्रक्रियाएं
- 8.10 सूचना विलोपन (2022 में नया): आवश्यकता न होने पर सुरक्षित विलोपन
- 8.11 डेटा मास्किंग (2022 में नया): गैर-उत्पादन वातावरण में संवेदनशील डेटा को मास्क करना
- 8.12 डेटा रिसाव की रोकथाम (2022 में नया): अनधिकृत डेटा घुसपैठ को रोकने के लिए डीएलपी उपकरण
- 8.15 लॉगिंग: व्यापक ऑडिट लॉगिंग; लॉग सुरक्षा; लॉग समीक्षा
- 8.16 निगरानी गतिविधियाँ (2022 में नया): नेटवर्क और सिस्टम निगरानी; सिएम
- 8.23 वेब फ़िल्टरिंग (2022 में नया): दुर्भावनापूर्ण सामग्री से बचाने के लिए वेब सामग्री फ़िल्टरिंग
- 8.25 सुरक्षित विकास जीवन चक्र: सुरक्षित एसडीएलसी नीति; विकास में सुरक्षा आवश्यकताएँ; कोड समीक्षा; एसएएसटी/डीएएसटी
- 8.26 अनुप्रयोग सुरक्षा आवश्यकताएँ: नए और उन्नत अनुप्रयोगों के लिए सुरक्षा आवश्यकताओं की परिभाषा
- 8.27 सुरक्षित सिस्टम आर्किटेक्चर और इंजीनियरिंग सिद्धांत (2022 में नया): डिज़ाइन द्वारा सुरक्षा; गहराई से बचाव
- 8.28 सुरक्षित कोडिंग (2022 में नया): सुरक्षित कोडिंग मानक; कोड समीक्षा; स्थैतिक विश्लेषण
- 8.29 विकास और स्वीकृति में सुरक्षा परीक्षण: एसडीएलसी के हिस्से के रूप में सुरक्षा परीक्षण; लाइव होने से पहले प्रवेश परीक्षण
- 8.34 ऑडिट परीक्षण के दौरान सूचना प्रणालियों की सुरक्षा: व्यवधान को कम करने के लिए ऑडिट गतिविधियों का समन्वय
चरण 5 - दस्तावेज़ीकरण और रिकॉर्ड
ISO 27001 के लिए विशिष्ट दस्तावेजी जानकारी (नीतियाँ और रिकॉर्ड) की आवश्यकता होती है। न्यूनतम दस्तावेज़ सेट:
अनिवार्य दस्तावेज़:
- आईएसएमएस स्कोप दस्तावेज़
- सूचना सुरक्षा नीति
- सूचना सुरक्षा जोखिम मूल्यांकन पद्धति
- जोखिम रजिस्टर और जोखिम उपचार योजना
- प्रयोज्यता का विवरण
- आंतरिक लेखापरीक्षा कार्यक्रम और रिपोर्ट
- प्रबंधन समीक्षा रिकॉर्ड
- प्रशिक्षण और जागरूकता के रिकॉर्ड
अनुशंसित विषय-विशिष्ट नीतियां:
- प्रवेश नियंत्रण नीति
- स्वीकार्य उपयोग नीति
- परिसंपत्ति प्रबंधन नीति
- व्यवसाय निरंतरता और डीआर नीति
- प्रबंधन नीति बदलें
- क्रिप्टोग्राफी और प्रमुख प्रबंधन नीति
- घटना प्रतिक्रिया नीति
- दूरस्थ कार्य नीति
- आपूर्तिकर्ता सुरक्षा नीति
- भेद्यता प्रबंधन नीति
चरण 6 - आंतरिक लेखापरीक्षा कार्यक्रम
खंड 9.2 में सभी आईएसएमएस आवश्यकताओं और अनुबंध ए नियंत्रणों को कवर करते हुए नियोजित अंतराल पर आयोजित आंतरिक ऑडिट के एक कार्यक्रम की आवश्यकता होती है। आंतरिक लेखा परीक्षकों को सक्षम और वस्तुनिष्ठ होना चाहिए (अपने स्वयं के काम का ऑडिट नहीं करना चाहिए)।
आंतरिक लेखापरीक्षा दृष्टिकोण:
- सभी आईएसएमएस खंडों और सभी लागू अनुबंध ए को एक परिभाषित चक्र पर नियंत्रित करने वाली वार्षिक आंतरिक लेखापरीक्षा योजना
- जोखिम-आधारित नमूनाकरण: उच्च जोखिम वाले क्षेत्रों में अधिक बार परीक्षण करें
- दस्तावेज़ साक्ष्य संग्रह और गैर-अनुरूपता रिकॉर्डिंग
- प्रबंधन को रिपोर्ट करें; बंद करने के लिए सुधारात्मक कार्रवाइयों को ट्रैक करें
विश्वसनीयता के लिए आंतरिक लेखा परीक्षकों को प्रमाणित (आईएसओ 27001 लीड ऑडिटर या आंतरिक लेखा परीक्षक प्रशिक्षण) होना चाहिए। कई संगठन दूसरे विभाग के दृष्टिकोण (आईटी ऑडिटिंग सुरक्षा, सुरक्षा ऑडिटिंग आईटी) का उपयोग करते हैं या निष्पक्षता के लिए एक बाहरी फर्म को नियुक्त करते हैं।
चरण 7 — प्रबंधन समीक्षा
खंड 9.3 में शीर्ष प्रबंधन को योजनाबद्ध अंतराल (आमतौर पर वार्षिक) पर आईएसएमएस की समीक्षा करने की आवश्यकता होती है। प्रबंधन समीक्षा में शामिल होना चाहिए:
- पिछली समीक्षाओं से कार्रवाई की स्थिति
- आईएसएमएस से संबंधित बाहरी और आंतरिक मुद्दों में बदलाव
- आईएसएमएस प्रदर्शन पर प्रतिक्रिया (सुरक्षा घटनाएं, ऑडिट परिणाम, निगरानी, केपीआई)
- इच्छुक पार्टियों से प्रतिक्रिया
- जोखिम मूल्यांकन और जोखिम उपचार योजना की स्थिति के परिणाम -निरंतर सुधार के अवसर
प्रबंधन समीक्षा आउटपुट: निरंतर सुधार के अवसरों, आईएसएमएस परिवर्तन, संसाधन आवश्यकताओं पर निर्णय।
प्रमाणन प्रक्रिया
एक प्रमाणन निकाय का चयन करें: एक राष्ट्रीय मान्यता निकाय (यूके में यूकेएएस, जर्मनी में डीएकेकेएस, अमेरिका में एएनएबी, ऑस्ट्रेलिया/एनजेड में जेएएस-एएनजेड) द्वारा मान्यता प्राप्त होना चाहिए। वैश्विक स्वीकृति के लिए IAF मान्यता की जाँच करें।
चरण 1 ऑडिट (दस्तावेज़ीकरण समीक्षा): चरण 2 के लिए तैयारी की पुष्टि करने के लिए ऑडिटर आपके आईएसएमएस दस्तावेज़ - दायरा, एसओए, जोखिम मूल्यांकन, नीतियों - की समीक्षा करता है। आमतौर पर 1-2 दिन। आउटपुट: चरण 2 से पहले संबोधित किए जाने वाले निष्कर्षों/अंतराल की सूची।
अंतर निवारण: चरण 1 के निष्कर्षों को संबोधित करें। पहचाने गए अंतराल के आधार पर 4-8 सप्ताह लग सकते हैं।
स्टेज 2 ऑडिट (कार्यान्वयन ऑडिट): वास्तविक आईएसएमएस कार्यान्वयन का ऑन-साइट (या रिमोट) ऑडिट। लेखा परीक्षक नियंत्रण का परीक्षण करते हैं, कर्मचारियों का साक्षात्कार लेते हैं, साक्ष्य रिकॉर्ड की समीक्षा करते हैं। कार्यक्षेत्र और संगठन के आकार के आधार पर आमतौर पर 3-10 ऑडिट दिन। गैर-अनुरूपताओं (बड़ी या छोटी) को संबोधित किया जाना चाहिए।
प्रमाणन निर्णय: प्रमाणन निकाय ISO 27001:2022 प्रमाणपत्र जारी करता है, जो 3 वर्षों के लिए वैध है। प्रमाणपत्र में स्कोप स्टेटमेंट शामिल है।
निगरानी ऑडिट: प्रमाणपत्र चक्र के वर्ष 1 और 2 में वार्षिक निगरानी ऑडिट (प्रमाणन ऑडिट की तुलना में हल्का)। वर्ष 3 में पुन: प्रमाणन लेखापरीक्षा में संपूर्ण आईएसएमएस शामिल है।
ISO 27001 कार्यान्वयन चेकलिस्ट
- आईएसएमएस का दायरा परिभाषित और प्रलेखित
- सूचना सुरक्षा नीति शीर्ष प्रबंधन द्वारा अनुमोदित
- जोखिम मूल्यांकन पद्धति को प्रलेखित और लागू किया गया
- सभी महत्वपूर्ण जोखिमों के लिए जोखिम रेटिंग के साथ पूर्ण जोखिम रजिस्टर
- सभी अस्वीकार्य जोखिमों के लिए जोखिम उपचार योजना विकसित की गई
- सभी 93 अनुबंध ए नियंत्रणों के लिए प्रयोज्यता का विवरण पूरा हो गया है
- सभी लागू अनुलग्नक ए नियंत्रण लागू किए गए
- दस्तावेज़ीकरण सेट पूर्ण (नीतियाँ, प्रक्रियाएँ, रिकॉर्ड)
- आंतरिक लेखापरीक्षा कार्यक्रम स्थापित किया गया और पहला लेखापरीक्षा पूरा हुआ
- आंतरिक ऑडिट से लेकर समापन तक सुधारात्मक कार्रवाइयों पर नज़र रखी गई
- प्रबंधन समीक्षा रिकॉर्ड के साथ पूरी हुई
- कर्मचारी सुरक्षा जागरूकता प्रशिक्षण पूरा और प्रलेखित
- मान्यता प्राप्त प्रमाणन निकाय का चयन किया गया और चरण 1 ऑडिट निर्धारित किया गया
- चरण 1 के निष्कर्षों पर चर्चा की गई
- चरण 2 प्रमाणन ऑडिट पूरा हुआ
अक्सर पूछे जाने वाले प्रश्न
आईएसओ 27001 कार्यान्वयन में कितना समय लगता है?
उचित सुरक्षा आधार रेखा से शुरू होने वाली मध्यम आकार की प्रौद्योगिकी कंपनी के लिए, किकऑफ़ से प्रमाणन तक कार्यान्वयन में आम तौर पर 6-12 महीने लगते हैं। परिपक्व सुरक्षा प्रथाओं वाले संगठन 4-6 महीनों में प्रमाणन प्राप्त कर सकते हैं। जटिल दायरे, एकाधिक स्थानों या व्यापक विरासत दस्तावेज़ीकरण वाले बड़े उद्यमों में 12-18 महीने लग सकते हैं। समयरेखा के प्रमुख चालक: कार्यक्षेत्र जटिलता, मौजूदा दस्तावेज़ीकरण परिपक्वता, संसाधन उपलब्धता और प्रमाणन निकाय शेड्यूलिंग।
आईएसओ 27001 और आईएसओ 27002 के बीच क्या अंतर है?
ISO 27001 प्रबंधन प्रणाली मानक है जिसके आधार पर संगठनों को प्रमाणित किया जाता है - यह ISMS की स्थापना, कार्यान्वयन, रखरखाव और सुधार के लिए आवश्यकताओं को निर्दिष्ट करता है। आईएसओ 27002 एक मार्गदर्शन दस्तावेज़ है जो 93 अनुबंध ए नियंत्रणों में से प्रत्येक को लागू करने पर सर्वोत्तम अभ्यास सलाह प्रदान करता है। आईएसओ 27001 अनुबंध ए में नियंत्रण शामिल हैं (मानक रूप से); आईएसओ 27002 बताता है कि उन्हें कैसे लागू किया जाए (जानकारीपूर्ण ढंग से)। आईएसओ 27001 प्रमाणन आवश्यक है; ISO 27002 कार्यान्वयन पुस्तिका है। आप "आईएसओ 27002 प्रमाणित" नहीं हो सकते - केवल आईएसओ 27001 प्रमाणन मौजूद है।
क्या हम अपने संगठन के केवल एक हिस्से के लिए आईएसओ 27001 प्रमाणन प्राप्त कर सकते हैं?
हां - ISO 27001 किसी विशिष्ट सेवा, उत्पाद लाइन, विभाग या स्थान तक पहुंच की अनुमति देता है। एक SaaS कंपनी अपने ISO 27001 प्रमाणन का दायरा बैक-ऑफ़िस HR और वित्त प्रणालियों को छोड़कर अपने क्लाउड-होस्टेड उत्पाद प्लेटफ़ॉर्म तक सीमित कर सकती है। प्रमाणन प्रमाणपत्र दायरा निर्दिष्ट करेगा, और ग्राहक और लेखा परीक्षक समझते हैं कि नियंत्रण बताए गए दायरे की सीमा के भीतर लागू होते हैं। एक संकीर्ण दायरे का अर्थ है तेज़, सस्ता प्रमाणीकरण, लेकिन उन ग्राहकों को कम आश्वासन प्रदान करता है जो आपके पूरे संगठन में विश्वास चाहते हैं।
आईएसओ 27001 एसओसी 2 से किस प्रकार भिन्न है?
दोनों सूचना सुरक्षा को संबोधित करते हैं लेकिन विभिन्न रूपरेखाओं और दर्शकों से। आईएसओ 27001 एक अंतरराष्ट्रीय प्रबंधन प्रणाली मानक है जो तीन साल का प्रमाणपत्र प्रदान करता है; मान्यता प्राप्त प्रमाणन निकायों द्वारा ऑडिट आयोजित किए जाते हैं; इसे यूरोप, एशिया-प्रशांत और मध्य पूर्व खरीद में व्यापक रूप से मान्यता प्राप्त है। एसओसी 2 एक यूएस-मूल सत्यापन ढांचा है जो ग्राहक लेखा परीक्षकों द्वारा समीक्षा की गई एक रिपोर्ट (टाइप I या टाइप II) तैयार करता है; यह ट्रस्ट सेवा मानदंड पर केंद्रित है; इसकी मुख्य रूप से अमेरिकी उद्यम खरीदारों को आवश्यकता होती है। नियंत्रण काफी हद तक ओवरलैप होते हैं। कई संगठन दोनों का अनुसरण करते हैं - अमेरिकी उद्यम बिक्री के लिए एसओसी 2, अंतरराष्ट्रीय और सरकारी खरीद के लिए आईएसओ 27001।
2013 की तुलना में आईएसओ 27001:2022 में मुख्य परिवर्तन क्या हैं?
मुख्य परिवर्तन: (1) अनुबंध ए को 14 श्रेणियों/114 नियंत्रणों से 4 थीम/93 नियंत्रणों तक पुनर्गठित किया गया; (2) 11 नए नियंत्रण जोड़े गए: खतरे की खुफिया जानकारी, व्यापार निरंतरता के लिए आईसीटी तैयारी, भौतिक सुरक्षा निगरानी, कॉन्फ़िगरेशन प्रबंधन, सूचना विलोपन, डेटा मास्किंग, डेटा रिसाव की रोकथाम, निगरानी गतिविधियां, वेब फ़िल्टरिंग, सुरक्षित कोडिंग और क्लाउड सेवाओं के लिए सूचना सुरक्षा; (3) कोई नियंत्रण नहीं हटाया गया - मौजूदा नियंत्रणों को विलय और पुनर्गठित किया गया; (4) खंड 6.3 में प्रबंधित आईएसएमएस परिवर्तनों के लिए "परिवर्तन की योजना" जोड़ा गया; (5) स्पष्टता के लिए शब्दों को अद्यतन किया जाता है। मौलिक प्रबंधन प्रणाली संरचना (खंड 4-10) काफी हद तक अपरिवर्तित है।
आईएसओ 27001 प्रमाणन की लागत कितनी है?
कुल लागत संगठन के आकार और दायरे के अनुसार काफी भिन्न होती है: प्रमाणन निकाय ऑडिट शुल्क: $8,000- $50,000+, दायरे और ऑडिट दिनों के आधार पर; परामर्श (वैकल्पिक): सहायता प्राप्त कार्यान्वयन के लिए $30,000-$150,000; आंतरिक स्टाफ का समय: कार्यान्वयन और दस्तावेज़ीकरण में 200-1,000+ घंटे; टूलींग (जीआरसी प्लेटफ़ॉर्म, भेद्यता स्कैनिंग, एसआईईएम): $10,000-$100,000/वर्ष; वार्षिक निगरानी ऑडिट: चरण 2 लागत का लगभग 30-50%। संकीर्ण दायरे वाले छोटे संगठन कुल $40,000-$80,000 में प्रमाणन प्राप्त कर सकते हैं। मध्यम आकार के संगठन आमतौर पर अपने पहले प्रमाणन चक्र में $100,000-$300,000 का निवेश करते हैं।
अगले चरण
ISO 27001 प्रमाणन एक रणनीतिक निवेश है जो ग्राहक विश्वास में वृद्धि, उद्यम बिक्री में तेजी, कम साइबर बीमा प्रीमियम और संरचित सुरक्षा सुधार के माध्यम से भुगतान करता है। प्रौद्योगिकी कंपनियों के लिए, एसओसी 2 के साथ आईएसओ 27001 को लागू करना उद्यम खरीदार सुरक्षा आवश्यकताओं की व्यापक वैश्विक कवरेज प्रदान करता है।
ECOSIRE की टीम क्लाउड वातावरण, एप्लिकेशन सुरक्षा और प्रबंधित सेवा वितरण में तकनीकी नियंत्रण कार्यान्वयन में विशेषज्ञता के साथ, प्रौद्योगिकी कंपनियों को ISO 27001-संरेखित सुरक्षा प्रबंधन कार्यक्रमों को लागू करने में मदद करती है।
आरंभ करें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है। ISO 27001 प्रमाणन आवश्यकताओं की पुष्टि किसी मान्यता प्राप्त प्रमाणन निकाय से की जानी चाहिए। विशिष्ट कार्यान्वयन आवश्यकताएँ संगठन के आकार, दायरे और उद्योग के अनुसार भिन्न होती हैं।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
How Much Does an ERPNext Implementation Cost in 2026? (License-Free, But Not Free)
ERPNext has zero license fees, but implementation, hosting, and support still cost real money. Full 2026 cost breakdown by company size with budget tables.
9 ERPNext Implementation Mistakes That Sink Projects (And How to Avoid Them)
Nine ERPNext implementation mistakes that derail projects — from skipped process mapping to big-bang go-lives — and practical fixes that keep yours on track.
How Much Does Power BI Implementation Cost in 2026? Real Project Budgets Explained
Power BI implementation costs in 2026: real budget ranges by company size, consultant rates, licensing line items, hidden cost drivers, and payback timelines.
Compliance & Regulation से और अधिक
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
GoHighLevel A2P 10DLC Compliance in 2026: Registration, Fees, and Fixing Blocked SMS
Complete GoHighLevel A2P 10DLC guide for 2026: brand and campaign registration steps, carrier fees, common rejection reasons, and how to fix filtered SMS.
GxP Validation for ERP Systems: What Your 2026 Validation RFP Must Require (CSV, IQ/OQ/PQ, Audit Trails)
What a GxP ERP validation RFP must require in 2026: CSV and CSA scope, 21 CFR Part 11, EU Annex 11, IQ/OQ/PQ deliverables, audit trails, and GAMP 5 risk.
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.