ISO 27001 कार्यान्वयन: सूचना सुरक्षा प्रबंधन प्रणाली

ISO 27001 दुनिया का सबसे व्यापक रूप से मान्यता प्राप्त सूचना सुरक्षा प्रबंधन मानक है, जिसके विश्व स्तर पर 70,000 से अधिक संगठन प्रमाणित हैं। जीडीपीआर या पीसीआई डीएसएस जैसे निर्देशात्मक नियमों के विपरीत, आईएसओ 27001 व्यवस्थित सूचना सुरक्षा प्रबंधन के लिए एक जोखिम-आधारित ढांचा प्रदान करता है - जो किसी भी आकार, उद्योग या भूगोल के संगठनों के लिए अनुकूल है। एक वैध ISO 27001 प्रमाणन ग्राहकों, भागीदारों, नियामकों और बीमाकर्ताओं को संकेत देता है कि आपका संगठन एक संरचित, लेखापरीक्षित और लगातार सुधार प्रबंधन प्रणाली के माध्यम से सूचना सुरक्षा जोखिमों का प्रबंधन करता है।

वर्तमान संस्करण आईएसओ/आईईसी 27001:2022 है, जो अक्टूबर 2022 में प्रकाशित हुआ, जिसने आईएसओ/आईईसी 27001:2013 को प्रतिस्थापित किया। 2013 प्रमाणन वाले संगठनों के पास 2022 संस्करण में परिवर्तन के लिए 31 अक्टूबर, 2025 तक का समय था। सभी नए प्रमाणपत्र 2022 तक जारी किए जाएंगे।

मुख्य बातें

• आईएसओ 27001:2022 ने अनुबंध ए नियंत्रणों को 114 से घटाकर 93 कर दिया, चार विषयों में पुनर्गठित किया: संगठनात्मक (37), लोग (8), भौतिक (14), तकनीकी (34)
• नए 2022 नियंत्रणों में शामिल हैं: खतरे की खुफिया जानकारी, व्यापार निरंतरता के लिए आईसीटी तैयारी, भौतिक सुरक्षा निगरानी, ​​सुरक्षित कोडिंग, वेब फ़िल्टरिंग, डीएलपी और डेटा मास्किंग
• आईएसएमएस (सूचना सुरक्षा प्रबंधन प्रणाली) का दायरा, दस्तावेजीकरण, जोखिम-मूल्यांकन और एक मान्यता प्राप्त प्रमाणन निकाय द्वारा प्रमाणित होना चाहिए
• प्रमाणन के लिए आवश्यक है: चरण 1 (दस्तावेज़ीकरण समीक्षा) और चरण 2 (कार्यान्वयन ऑडिट) - आम तौर पर तैयारी से प्रमाणन तक 3-6 महीने
• निरंतर सुधार अनिवार्य है: त्रैमासिक आंतरिक ऑडिट, वार्षिक प्रबंधन समीक्षा, वार्षिक निगरानी ऑडिट के साथ तीन साल का प्रमाणन चक्र
• प्रयोज्यता विवरण (एसओए) आपके जोखिम उपचार निर्णयों को अनुबंध ए नियंत्रणों से जोड़ने वाला महत्वपूर्ण दस्तावेज है
• यूरोपीय संघ की सार्वजनिक खरीद, उद्यम बिक्री और बीमा हामीदारी के लिए ISO 27001 प्रमाणन की आवश्यकता बढ़ती जा रही है

---

आईएसओ 27001 फ्रेमवर्क संरचना

आईएसओ 27001:2022 उच्च-स्तरीय संरचना (एचएलएस) का अनुसरण करता है - सभी आईएसओ प्रबंधन प्रणाली मानकों (आईएसओ 9001, आईएसओ 14001, आईएसओ 22301, आदि) द्वारा साझा किया जाने वाला सामान्य ढांचा। यह एक साथ कई आईएसओ मानकों को लागू करने वाले संगठनों के लिए एकीकृत प्रबंधन प्रणाली को सक्षम बनाता है।

मुख्य खंड (4-10) - अनिवार्य आवश्यकताएँ:

अनुलग्नक ए - संदर्भ नियंत्रण उद्देश्य: चार विषयों में 93 नियंत्रण जो सर्वोत्तम अभ्यास सुरक्षा नियंत्रण का प्रतिनिधित्व करते हैं। SoA यह निर्धारित करता है कि कौन सा अनुलग्नक A नियंत्रण आपके ISMS दायरे पर लागू होता है।

---

चरण 1 - आईएसएमएस स्कोप को परिभाषित करें

दायरा आपके आईएसएमएस की सीमाओं को परिभाषित करता है - क्या शामिल है और क्या बाहर रखा गया है। कार्यक्षेत्र संबंधी निर्णय मूल रूप से प्रमाणन की लागत और जटिलता को प्रभावित करते हैं।

दायरा परिभाषा संबंधी विचार:

• भौगोलिक सीमाएँ: विशिष्ट कार्यालय, डेटा केंद्र, दूरस्थ कर्मचारी
• संगठनात्मक सीमाएँ: विशिष्ट व्यावसायिक इकाइयाँ, विभाग, या सहायक कंपनियाँ
• दायरे में सूचना संपत्ति: विशिष्ट सिस्टम, डेटा सेट, प्रक्रियाएं
• दायरे से बाहर सिस्टम और तीसरे पक्ष के साथ इंटरफेस

सामान्य दायरे वाले दृष्टिकोण:

संकीर्ण दायरा: केवल विशिष्ट ग्राहक खंड या उत्पाद से सीधे संबंधित सिस्टम और प्रक्रियाओं को कवर करें। प्रमाणित करने के लिए तेज़ और सस्ता लेकिन ग्राहकों के लिए सीमित आश्वासन मूल्य।

व्यापक दायरा: पूरे संगठन को कवर करें। अधिकतम आश्वासन लेकिन उच्चतम कार्यान्वयन लागत।

क्लाउड-होस्टेड सेवा दायरा: SaaS कंपनियों के लिए, दायरा आम तौर पर क्लाउड इंफ्रास्ट्रक्चर, एप्लिकेशन कोड और सेवा का समर्थन करने वाली परिचालन प्रक्रियाओं को कवर करता है - भौतिक और बुनियादी ढांचे के नियंत्रण के लिए क्लाउड प्रदाता एसओसी 2/आईएसओ 27001 प्रमाणन का लाभ उठाता है।

दायरे का दस्तावेज़ीकरण किया जाना चाहिए और प्रमाणन दस्तावेज़ में शामिल किया जाना चाहिए। ऑडिटर दायरे की सीमा के भीतर नियंत्रणों का परीक्षण करेंगे और दायरे से बाहर के तत्वों के साथ इंटरफेस का सत्यापन करेंगे।

---

चरण 2 - सूचना सुरक्षा जोखिम मूल्यांकन

जोखिम मूल्यांकन (खंड 6.1.2) आईएसओ 27001 का पद्धतिगत आधार है। मानक के लिए एक प्रलेखित जोखिम मूल्यांकन प्रक्रिया की आवश्यकता होती है:

1. सूचना सुरक्षा जोखिम मूल्यांकन प्रक्रिया स्थापित और लागू करता है
2. आईएसएमएस दायरे में गोपनीयता, अखंडता और जानकारी की उपलब्धता के नुकसान से जुड़े जोखिमों की पहचान करता है
3. जोखिमों का विश्लेषण और मूल्यांकन करता है

संपत्ति-आधारित जोखिम मूल्यांकन दृष्टिकोण:

1. संपत्ति सूची: दायरे में आने वाली सभी सूचना परिसंपत्तियों की सूची बनाएं (सिस्टम, डेटाबेस, भौतिक दस्तावेज़, लोग, प्रक्रियाएं, तृतीय-पक्ष सेवाएँ)
2. खतरे की पहचान: प्रत्येक संपत्ति के लिए, संभावित खतरों की पहचान करें (बाहरी हमला, अंदरूनी खतरा, आकस्मिक विलोपन, हार्डवेयर विफलता, प्राकृतिक आपदा, आदि)
3. भेद्यता की पहचान: उन कमजोरियों की पहचान करें जिनका खतरों द्वारा फायदा उठाया जा सकता है (अप्रकाशित सॉफ़्टवेयर, कमजोर पासवर्ड, पहुंच नियंत्रण की कमी, आदि)
4. प्रभाव मूल्यांकन: प्रत्येक खतरे/भेद्यता संयोजन के लिए, एक परिभाषित पैमाने का उपयोग करके गोपनीयता, अखंडता और उपलब्धता पर संभावित प्रभाव का आकलन करें (उदाहरण के लिए, 1-5)
5. संभावना मूल्यांकन: एक परिभाषित पैमाने का उपयोग करके भेद्यता का फायदा उठाने वाले खतरे की संभावना का आकलन करें
6. जोखिम रेटिंग: जोखिम = प्रभाव × संभावना की गणना करें। जोखिम स्वीकृति मानदंड स्थापित करें (उदाहरण के लिए, एक निश्चित स्कोर से ऊपर के जोखिमों के लिए उपचार की आवश्यकता होती है)

जोखिम रजिस्टर प्रारूप:

---

चरण 3 - जोखिम उपचार योजना और प्रयोज्यता का विवरण

आपकी स्वीकृति सीमा से ऊपर के प्रत्येक जोखिम के लिए, एक जोखिम उपचार विकल्प चुनें:

• कम करें: जोखिम को कम करने के लिए सुरक्षा नियंत्रण लागू करें
• स्वीकार: जोखिम की स्वीकृति का दस्तावेज़ (आमतौर पर कम प्रभाव, कम संभावना वाले जोखिमों के लिए)
• स्थानांतरण: किसी तीसरे पक्ष को जोखिम स्थानांतरित करना (बीमा, आउटसोर्सिंग)
• बचें: जोखिम उत्पन्न करने वाली गतिविधि बंद कर दें

प्रयोज्यता का विवरण (एसओए): केंद्रीय अनुपालन दस्तावेज़। 93 अनुलग्नक ए नियंत्रणों में से प्रत्येक के लिए, एसओए रिकॉर्ड करता है:

• क्या नियंत्रण आपके दायरे पर लागू है
• क्या यह वर्तमान में लागू है
• शामिल करने या बाहर करने का औचित्य

SoA वह चीज़ है जिसकी ऑडिटर सबसे अधिक बारीकी से जांच करते हैं। प्रत्येक बहिष्करण को उचित ठहराया जाना चाहिए - और दृढ़ता से उचित ठहराया जाना चाहिए। सामान्य वैध बहिष्करण: केवल-क्लाउड संगठनों (क्लाउड प्रदाता द्वारा प्रबंधित डेटा केंद्र) के लिए भौतिक सुरक्षा नियंत्रण, यदि कोई महत्वपूर्ण तृतीय-पक्ष संबंध मौजूद नहीं है तो आपूर्तिकर्ता प्रबंधन नियंत्रण करता है।

---

चरण 4 - अनुबंध ए नियंत्रण लागू करें

आईएसओ 27001:2022 अनुबंध ए 93 नियंत्रणों को चार विषयों में व्यवस्थित करता है। प्रौद्योगिकी-उन्मुख संगठनों के लिए मुख्य नियंत्रण:

संगठनात्मक नियंत्रण (37 नियंत्रण)

मुख्य नियंत्रणों में शामिल हैं:

• 5.1 सूचना सुरक्षा के लिए नीतियां: प्रलेखित, अनुमोदित, संचारित सुरक्षा नीति और विषय-विशिष्ट नीतियां
• 5.2 सूचना सुरक्षा भूमिकाएँ और जिम्मेदारियाँ: परिभाषित सीआईएसओ/सुरक्षा अधिकारी की भूमिका; प्रलेखित सुरक्षा जिम्मेदारियाँ
• 5.7 खतरे की खुफिया जानकारी (2022 में नया): संगठन के लिए प्रासंगिक खतरे की खुफिया जानकारी एकत्र करें और उसका विश्लेषण करें
• 5.9 सूचना और अन्य संबद्ध परिसंपत्तियों की सूची: स्वामित्व के साथ परिसंपत्ति सूची बनाए रखना
• 5.15 अभिगम नियंत्रण: अभिगम नियंत्रण नीति; न्यूनतम विशेषाधिकार; औपचारिक पहुँच प्रबंधन प्रक्रियाएँ
• 5.16 पहचान प्रबंधन: पूर्ण पहचान जीवनचक्र प्रबंधन (प्रावधान, संशोधन, प्रावधानीकरण)
• 5.17 प्रमाणीकरण जानकारी: पासवर्ड/प्रमाणीकरण क्रेडेंशियल प्रबंधन नीति और प्रक्रियाएं
• 5.20 आपूर्तिकर्ता समझौतों के भीतर सुरक्षा को संबोधित करना: आपूर्तिकर्ताओं और भागीदारों के साथ अनुबंधों में सुरक्षा आवश्यकताएँ
• 5.23 क्लाउड सेवाओं के उपयोग के लिए सूचना सुरक्षा (2022 में नया): क्लाउड सुरक्षा नीतियां, क्लाउड सेवा चयन, निगरानी

लोग नियंत्रण (8 नियंत्रण)

• 6.1 स्क्रीनिंग: रोजगार से पहले और उसके दौरान पृष्ठभूमि की जाँच
• 6.2 रोजगार के नियम और शर्तें: रोजगार अनुबंधों में सुरक्षा संबंधी शर्तें
• 6.3 सूचना सुरक्षा जागरूकता, शिक्षा और प्रशिक्षण: वार्षिक प्रशिक्षण कार्यक्रम, भूमिका-विशिष्ट प्रशिक्षण, फ़िशिंग सिमुलेशन
• 6.4 अनुशासनात्मक प्रक्रिया: सुरक्षा नीति के उल्लंघन के लिए औपचारिक प्रक्रिया
• 6.6 गोपनीयता या गैर-प्रकटीकरण समझौते: कर्मचारियों और ठेकेदारों के साथ एनडीए

भौतिक नियंत्रण (14 नियंत्रण)

• 7.1 भौतिक सुरक्षा परिधि: परिभाषित सुरक्षा परिधि; सुरक्षित क्षेत्रों तक पहुंच नियंत्रण
• 7.4 भौतिक सुरक्षा निगरानी (2022 में नया): सीसीटीवी, घुसपैठ का पता लगाना, एक्सेस लॉग
• 7.7 साफ़ डेस्क और साफ़ स्क्रीन: नीति और कार्यान्वयन; स्क्रीन लॉक; दिन के अंत में साफ़ डेस्क
• 7.10 स्टोरेज मीडिया: हटाने योग्य मीडिया का प्रबंधन; सुरक्षित निपटान

तकनीकी नियंत्रण (34 नियंत्रण)

• 8.2 विशेषाधिकार प्राप्त पहुंच अधिकार: विशेषाधिकार प्राप्त खाता प्रबंधन; बस-समय पर पहुंच; विशेषाधिकार प्राप्त सत्रों की निगरानी
• 8.4 स्रोत कोड तक पहुंच: स्रोत कोड तक प्रतिबंधित पहुंच; कोड समीक्षा आवश्यकताएँ
• 8.5 सुरक्षित प्रमाणीकरण: एमएफए; सुरक्षित प्रमाणीकरण प्रोटोकॉल
• 8.7 मैलवेयर से सुरक्षा: सभी अंतिम बिंदुओं पर एंटी-मैलवेयर; मेल और वेब फ़िल्टरिंग
• 8.8 तकनीकी कमजोरियों का प्रबंधन: भेद्यता स्कैनिंग; पैचिंग एसएलए; पैठ परीक्षण
• 8.9 कॉन्फ़िगरेशन प्रबंधन (2022 में नया): दस्तावेज़ीकृत सुरक्षा आधार रेखाएँ; कॉन्फ़िगरेशन प्रबंधन प्रक्रियाएं
• 8.10 सूचना विलोपन (2022 में नया): आवश्यकता न होने पर सुरक्षित विलोपन
• 8.11 डेटा मास्किंग (2022 में नया): गैर-उत्पादन वातावरण में संवेदनशील डेटा को मास्क करना
• 8.12 डेटा रिसाव की रोकथाम (2022 में नया): अनधिकृत डेटा घुसपैठ को रोकने के लिए डीएलपी उपकरण
• 8.15 लॉगिंग: व्यापक ऑडिट लॉगिंग; लॉग सुरक्षा; लॉग समीक्षा
• 8.16 निगरानी गतिविधियाँ (2022 में नया): नेटवर्क और सिस्टम निगरानी; सिएम
• 8.23 वेब फ़िल्टरिंग (2022 में नया): दुर्भावनापूर्ण सामग्री से बचाने के लिए वेब सामग्री फ़िल्टरिंग
• 8.25 सुरक्षित विकास जीवन चक्र: सुरक्षित एसडीएलसी नीति; विकास में सुरक्षा आवश्यकताएँ; कोड समीक्षा; एसएएसटी/डीएएसटी
• 8.26 अनुप्रयोग सुरक्षा आवश्यकताएँ: नए और उन्नत अनुप्रयोगों के लिए सुरक्षा आवश्यकताओं की परिभाषा
• 8.27 सुरक्षित सिस्टम आर्किटेक्चर और इंजीनियरिंग सिद्धांत (2022 में नया): डिज़ाइन द्वारा सुरक्षा; गहराई से बचाव
• 8.28 सुरक्षित कोडिंग (2022 में नया): सुरक्षित कोडिंग मानक; कोड समीक्षा; स्थैतिक विश्लेषण
• 8.29 विकास और स्वीकृति में सुरक्षा परीक्षण: एसडीएलसी के हिस्से के रूप में सुरक्षा परीक्षण; लाइव होने से पहले प्रवेश परीक्षण
• 8.34 ऑडिट परीक्षण के दौरान सूचना प्रणालियों की सुरक्षा: व्यवधान को कम करने के लिए ऑडिट गतिविधियों का समन्वय

---

चरण 5 - दस्तावेज़ीकरण और रिकॉर्ड

ISO 27001 के लिए विशिष्ट दस्तावेजी जानकारी (नीतियाँ और रिकॉर्ड) की आवश्यकता होती है। न्यूनतम दस्तावेज़ सेट:

अनिवार्य दस्तावेज़:

• आईएसएमएस स्कोप दस्तावेज़
• सूचना सुरक्षा नीति
• सूचना सुरक्षा जोखिम मूल्यांकन पद्धति
• जोखिम रजिस्टर और जोखिम उपचार योजना
• प्रयोज्यता का विवरण
• आंतरिक लेखापरीक्षा कार्यक्रम और रिपोर्ट
• प्रबंधन समीक्षा रिकॉर्ड
• प्रशिक्षण और जागरूकता के रिकॉर्ड

अनुशंसित विषय-विशिष्ट नीतियां:

• प्रवेश नियंत्रण नीति
• स्वीकार्य उपयोग नीति
• परिसंपत्ति प्रबंधन नीति
• व्यवसाय निरंतरता और डीआर नीति
• प्रबंधन नीति बदलें
• क्रिप्टोग्राफी और प्रमुख प्रबंधन नीति
• घटना प्रतिक्रिया नीति
• दूरस्थ कार्य नीति
• आपूर्तिकर्ता सुरक्षा नीति
• भेद्यता प्रबंधन नीति

---

चरण 6 - आंतरिक लेखापरीक्षा कार्यक्रम

खंड 9.2 में सभी आईएसएमएस आवश्यकताओं और अनुबंध ए नियंत्रणों को कवर करते हुए नियोजित अंतराल पर आयोजित आंतरिक ऑडिट के एक कार्यक्रम की आवश्यकता होती है। आंतरिक लेखा परीक्षकों को सक्षम और वस्तुनिष्ठ होना चाहिए (अपने स्वयं के काम का ऑडिट नहीं करना चाहिए)।

आंतरिक लेखापरीक्षा दृष्टिकोण:

• सभी आईएसएमएस खंडों और सभी लागू अनुबंध ए को एक परिभाषित चक्र पर नियंत्रित करने वाली वार्षिक आंतरिक लेखापरीक्षा योजना
• जोखिम-आधारित नमूनाकरण: उच्च जोखिम वाले क्षेत्रों में अधिक बार परीक्षण करें
• दस्तावेज़ साक्ष्य संग्रह और गैर-अनुरूपता रिकॉर्डिंग
• प्रबंधन को रिपोर्ट करें; बंद करने के लिए सुधारात्मक कार्रवाइयों को ट्रैक करें

विश्वसनीयता के लिए आंतरिक लेखा परीक्षकों को प्रमाणित (आईएसओ 27001 लीड ऑडिटर या आंतरिक लेखा परीक्षक प्रशिक्षण) होना चाहिए। कई संगठन दूसरे विभाग के दृष्टिकोण (आईटी ऑडिटिंग सुरक्षा, सुरक्षा ऑडिटिंग आईटी) का उपयोग करते हैं या निष्पक्षता के लिए एक बाहरी फर्म को नियुक्त करते हैं।

---

चरण 7 — प्रबंधन समीक्षा

खंड 9.3 में शीर्ष प्रबंधन को योजनाबद्ध अंतराल (आमतौर पर वार्षिक) पर आईएसएमएस की समीक्षा करने की आवश्यकता होती है। प्रबंधन समीक्षा में शामिल होना चाहिए:

• पिछली समीक्षाओं से कार्रवाई की स्थिति
• आईएसएमएस से संबंधित बाहरी और आंतरिक मुद्दों में बदलाव
• आईएसएमएस प्रदर्शन पर प्रतिक्रिया (सुरक्षा घटनाएं, ऑडिट परिणाम, निगरानी, केपीआई)
• इच्छुक पार्टियों से प्रतिक्रिया
• जोखिम मूल्यांकन और जोखिम उपचार योजना की स्थिति के परिणाम -निरंतर सुधार के अवसर

प्रबंधन समीक्षा आउटपुट: निरंतर सुधार के अवसरों, आईएसएमएस परिवर्तन, संसाधन आवश्यकताओं पर निर्णय।

---

प्रमाणन प्रक्रिया

एक प्रमाणन निकाय का चयन करें: एक राष्ट्रीय मान्यता निकाय (यूके में यूकेएएस, जर्मनी में डीएकेकेएस, अमेरिका में एएनएबी, ऑस्ट्रेलिया/एनजेड में जेएएस-एएनजेड) द्वारा मान्यता प्राप्त होना चाहिए। वैश्विक स्वीकृति के लिए IAF मान्यता की जाँच करें।

चरण 1 ऑडिट (दस्तावेज़ीकरण समीक्षा): चरण 2 के लिए तैयारी की पुष्टि करने के लिए ऑडिटर आपके आईएसएमएस दस्तावेज़ - दायरा, एसओए, जोखिम मूल्यांकन, नीतियों - की समीक्षा करता है। आमतौर पर 1-2 दिन। आउटपुट: चरण 2 से पहले संबोधित किए जाने वाले निष्कर्षों/अंतराल की सूची।

अंतर निवारण: चरण 1 के निष्कर्षों को संबोधित करें। पहचाने गए अंतराल के आधार पर 4-8 सप्ताह लग सकते हैं।

स्टेज 2 ऑडिट (कार्यान्वयन ऑडिट): वास्तविक आईएसएमएस कार्यान्वयन का ऑन-साइट (या रिमोट) ऑडिट। लेखा परीक्षक नियंत्रण का परीक्षण करते हैं, कर्मचारियों का साक्षात्कार लेते हैं, साक्ष्य रिकॉर्ड की समीक्षा करते हैं। कार्यक्षेत्र और संगठन के आकार के आधार पर आमतौर पर 3-10 ऑडिट दिन। गैर-अनुरूपताओं (बड़ी या छोटी) को संबोधित किया जाना चाहिए।

प्रमाणन निर्णय: प्रमाणन निकाय ISO 27001:2022 प्रमाणपत्र जारी करता है, जो 3 वर्षों के लिए वैध है। प्रमाणपत्र में स्कोप स्टेटमेंट शामिल है।

निगरानी ऑडिट: प्रमाणपत्र चक्र के वर्ष 1 और 2 में वार्षिक निगरानी ऑडिट (प्रमाणन ऑडिट की तुलना में हल्का)। वर्ष 3 में पुन: प्रमाणन लेखापरीक्षा में संपूर्ण आईएसएमएस शामिल है।

---

ISO 27001 कार्यान्वयन चेकलिस्ट

• आईएसएमएस का दायरा परिभाषित और प्रलेखित
• सूचना सुरक्षा नीति शीर्ष प्रबंधन द्वारा अनुमोदित
• जोखिम मूल्यांकन पद्धति को प्रलेखित और लागू किया गया
• सभी महत्वपूर्ण जोखिमों के लिए जोखिम रेटिंग के साथ पूर्ण जोखिम रजिस्टर
• सभी अस्वीकार्य जोखिमों के लिए जोखिम उपचार योजना विकसित की गई
• सभी 93 अनुबंध ए नियंत्रणों के लिए प्रयोज्यता का विवरण पूरा हो गया है
• सभी लागू अनुलग्नक ए नियंत्रण लागू किए गए
• दस्तावेज़ीकरण सेट पूर्ण (नीतियाँ, प्रक्रियाएँ, रिकॉर्ड)
• आंतरिक लेखापरीक्षा कार्यक्रम स्थापित किया गया और पहला लेखापरीक्षा पूरा हुआ
• आंतरिक ऑडिट से लेकर समापन तक सुधारात्मक कार्रवाइयों पर नज़र रखी गई
• प्रबंधन समीक्षा रिकॉर्ड के साथ पूरी हुई
• कर्मचारी सुरक्षा जागरूकता प्रशिक्षण पूरा और प्रलेखित
• मान्यता प्राप्त प्रमाणन निकाय का चयन किया गया और चरण 1 ऑडिट निर्धारित किया गया
• चरण 1 के निष्कर्षों पर चर्चा की गई
• चरण 2 प्रमाणन ऑडिट पूरा हुआ

---

अक्सर पूछे जाने वाले प्रश्न

आईएसओ 27001 कार्यान्वयन में कितना समय लगता है?

उचित सुरक्षा आधार रेखा से शुरू होने वाली मध्यम आकार की प्रौद्योगिकी कंपनी के लिए, किकऑफ़ से प्रमाणन तक कार्यान्वयन में आम तौर पर 6-12 महीने लगते हैं। परिपक्व सुरक्षा प्रथाओं वाले संगठन 4-6 महीनों में प्रमाणन प्राप्त कर सकते हैं। जटिल दायरे, एकाधिक स्थानों या व्यापक विरासत दस्तावेज़ीकरण वाले बड़े उद्यमों में 12-18 महीने लग सकते हैं। समयरेखा के प्रमुख चालक: कार्यक्षेत्र जटिलता, मौजूदा दस्तावेज़ीकरण परिपक्वता, संसाधन उपलब्धता और प्रमाणन निकाय शेड्यूलिंग।

आईएसओ 27001 और आईएसओ 27002 के बीच क्या अंतर है?

ISO 27001 प्रबंधन प्रणाली मानक है जिसके आधार पर संगठनों को प्रमाणित किया जाता है - यह ISMS की स्थापना, कार्यान्वयन, रखरखाव और सुधार के लिए आवश्यकताओं को निर्दिष्ट करता है। आईएसओ 27002 एक मार्गदर्शन दस्तावेज़ है जो 93 अनुबंध ए नियंत्रणों में से प्रत्येक को लागू करने पर सर्वोत्तम अभ्यास सलाह प्रदान करता है। आईएसओ 27001 अनुबंध ए में नियंत्रण शामिल हैं (मानक रूप से); आईएसओ 27002 बताता है कि उन्हें कैसे लागू किया जाए (जानकारीपूर्ण ढंग से)। आईएसओ 27001 प्रमाणन आवश्यक है; ISO 27002 कार्यान्वयन पुस्तिका है। आप "आईएसओ 27002 प्रमाणित" नहीं हो सकते - केवल आईएसओ 27001 प्रमाणन मौजूद है।

क्या हम अपने संगठन के केवल एक हिस्से के लिए आईएसओ 27001 प्रमाणन प्राप्त कर सकते हैं?

हां - ISO 27001 किसी विशिष्ट सेवा, उत्पाद लाइन, विभाग या स्थान तक पहुंच की अनुमति देता है। एक SaaS कंपनी अपने ISO 27001 प्रमाणन का दायरा बैक-ऑफ़िस HR और वित्त प्रणालियों को छोड़कर अपने क्लाउड-होस्टेड उत्पाद प्लेटफ़ॉर्म तक सीमित कर सकती है। प्रमाणन प्रमाणपत्र दायरा निर्दिष्ट करेगा, और ग्राहक और लेखा परीक्षक समझते हैं कि नियंत्रण बताए गए दायरे की सीमा के भीतर लागू होते हैं। एक संकीर्ण दायरे का अर्थ है तेज़, सस्ता प्रमाणीकरण, लेकिन उन ग्राहकों को कम आश्वासन प्रदान करता है जो आपके पूरे संगठन में विश्वास चाहते हैं।

आईएसओ 27001 एसओसी 2 से किस प्रकार भिन्न है?

दोनों सूचना सुरक्षा को संबोधित करते हैं लेकिन विभिन्न रूपरेखाओं और दर्शकों से। आईएसओ 27001 एक अंतरराष्ट्रीय प्रबंधन प्रणाली मानक है जो तीन साल का प्रमाणपत्र प्रदान करता है; मान्यता प्राप्त प्रमाणन निकायों द्वारा ऑडिट आयोजित किए जाते हैं; इसे यूरोप, एशिया-प्रशांत और मध्य पूर्व खरीद में व्यापक रूप से मान्यता प्राप्त है। एसओसी 2 एक यूएस-मूल सत्यापन ढांचा है जो ग्राहक लेखा परीक्षकों द्वारा समीक्षा की गई एक रिपोर्ट (टाइप I या टाइप II) तैयार करता है; यह ट्रस्ट सेवा मानदंड पर केंद्रित है; इसकी मुख्य रूप से अमेरिकी उद्यम खरीदारों को आवश्यकता होती है। नियंत्रण काफी हद तक ओवरलैप होते हैं। कई संगठन दोनों का अनुसरण करते हैं - अमेरिकी उद्यम बिक्री के लिए एसओसी 2, अंतरराष्ट्रीय और सरकारी खरीद के लिए आईएसओ 27001।

2013 की तुलना में आईएसओ 27001:2022 में मुख्य परिवर्तन क्या हैं?

मुख्य परिवर्तन: (1) अनुबंध ए को 14 श्रेणियों/114 नियंत्रणों से 4 थीम/93 नियंत्रणों तक पुनर्गठित किया गया; (2) 11 नए नियंत्रण जोड़े गए: खतरे की खुफिया जानकारी, व्यापार निरंतरता के लिए आईसीटी तैयारी, भौतिक सुरक्षा निगरानी, ​​कॉन्फ़िगरेशन प्रबंधन, सूचना विलोपन, डेटा मास्किंग, डेटा रिसाव की रोकथाम, निगरानी गतिविधियां, वेब फ़िल्टरिंग, सुरक्षित कोडिंग और क्लाउड सेवाओं के लिए सूचना सुरक्षा; (3) कोई नियंत्रण नहीं हटाया गया - मौजूदा नियंत्रणों को विलय और पुनर्गठित किया गया; (4) खंड 6.3 में प्रबंधित आईएसएमएस परिवर्तनों के लिए "परिवर्तन की योजना" जोड़ा गया; (5) स्पष्टता के लिए शब्दों को अद्यतन किया जाता है। मौलिक प्रबंधन प्रणाली संरचना (खंड 4-10) काफी हद तक अपरिवर्तित है।

आईएसओ 27001 प्रमाणन की लागत कितनी है?

कुल लागत संगठन के आकार और दायरे के अनुसार काफी भिन्न होती है: प्रमाणन निकाय ऑडिट शुल्क: $8,000- $50,000+, दायरे और ऑडिट दिनों के आधार पर; परामर्श (वैकल्पिक): सहायता प्राप्त कार्यान्वयन के लिए $30,000-$150,000; आंतरिक स्टाफ का समय: कार्यान्वयन और दस्तावेज़ीकरण में 200-1,000+ घंटे; टूलींग (जीआरसी प्लेटफ़ॉर्म, भेद्यता स्कैनिंग, एसआईईएम): $10,000-$100,000/वर्ष; वार्षिक निगरानी ऑडिट: चरण 2 लागत का लगभग 30-50%। संकीर्ण दायरे वाले छोटे संगठन कुल $40,000-$80,000 में प्रमाणन प्राप्त कर सकते हैं। मध्यम आकार के संगठन आमतौर पर अपने पहले प्रमाणन चक्र में $100,000-$300,000 का निवेश करते हैं।

---

अगले चरण

ISO 27001 प्रमाणन एक रणनीतिक निवेश है जो ग्राहक विश्वास में वृद्धि, उद्यम बिक्री में तेजी, कम साइबर बीमा प्रीमियम और संरचित सुरक्षा सुधार के माध्यम से भुगतान करता है। प्रौद्योगिकी कंपनियों के लिए, एसओसी 2 के साथ आईएसओ 27001 को लागू करना उद्यम खरीदार सुरक्षा आवश्यकताओं की व्यापक वैश्विक कवरेज प्रदान करता है।

ECOSIRE की टीम क्लाउड वातावरण, एप्लिकेशन सुरक्षा और प्रबंधित सेवा वितरण में तकनीकी नियंत्रण कार्यान्वयन में विशेषज्ञता के साथ, प्रौद्योगिकी कंपनियों को ISO 27001-संरेखित सुरक्षा प्रबंधन कार्यक्रमों को लागू करने में मदद करती है।

आरंभ करें: ECOSIRE सेवाएँ

अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है। ISO 27001 प्रमाणन आवश्यकताओं की पुष्टि किसी मान्यता प्राप्त प्रमाणन निकाय से की जानी चाहिए। विशिष्ट कार्यान्वयन आवश्यकताएँ संगठन के आकार, दायरे और उद्योग के अनुसार भिन्न होती हैं।