ISO 27001 نفاذ: انفارمیشن سیکیورٹی مینجمنٹ سسٹم

ISO 27001 دنیا کا سب سے زیادہ تسلیم شدہ انفارمیشن سیکیورٹی مینجمنٹ کا معیار ہے، جس میں عالمی سطح پر 70,000 سے زیادہ تنظیمیں تصدیق شدہ ہیں۔ GDPR یا PCI DSS جیسے نسخے کے ضوابط کے برعکس، ISO 27001 منظم معلومات کے تحفظ کے انتظام کے لیے خطرے پر مبنی فریم ورک فراہم کرتا ہے — جو کسی بھی سائز، صنعت یا جغرافیہ کی تنظیموں کے لیے قابل اطلاق ہے۔ ایک درست ISO 27001 سرٹیفیکیشن گاہکوں، شراکت داروں، ریگولیٹرز، اور بیمہ کنندگان کو اشارہ کرتا ہے کہ آپ کی تنظیم ایک منظم، آڈٹ شدہ، اور مسلسل بہتر انتظامی نظام کے ذریعے معلومات کے تحفظ کے خطرات کا انتظام کرتی ہے۔

موجودہ ورژن ISO/IEC 27001:2022 ہے، اکتوبر 2022 میں شائع ہوا، جس نے ISO/IEC 27001:2013 کی جگہ لے لی۔ 2013 کے سرٹیفیکیشن والی تنظیموں کے پاس 2022 ورژن میں منتقلی کے لیے 31 اکتوبر 2025 تک کا وقت تھا۔ تمام نئے سرٹیفیکیشن 2022 کے خلاف جاری کیے گئے ہیں۔

اہم ٹیک ویز

• ISO 27001:2022 نے Annex A کنٹرولز کو 114 سے کم کر کے 93 کر دیا، چار تھیمز میں دوبارہ ترتیب دیا گیا: تنظیمی (37)، لوگ (8)، جسمانی (14)، تکنیکی (34)
• نئے 2022 کنٹرولز میں شامل ہیں: خطرے کی ذہانت، کاروبار کے تسلسل کے لیے ICT کی تیاری، جسمانی تحفظ کی نگرانی، محفوظ کوڈنگ، ویب فلٹرنگ، DLP، اور ڈیٹا ماسکنگ
• ISMS (انفارمیشن سیکیورٹی مینجمنٹ سسٹم) کا دائرہ کار، دستاویزی، خطرے کا اندازہ اور تصدیق شدہ سرٹیفیکیشن باڈی سے تصدیق شدہ ہونا ضروری ہے۔
• سرٹیفیکیشن کی ضرورت ہے: مرحلہ 1 (دستاویزی جائزہ) اور مرحلہ 2 (عمل درآمد کا آڈٹ) - عام طور پر تیاری سے سرٹیفیکیشن تک 3-6 ماہ
• مسلسل بہتری لازمی ہے: سہ ماہی اندرونی آڈٹ، سالانہ انتظامی جائزہ، سالانہ نگرانی کے آڈٹ کے ساتھ تین سالہ سرٹیفیکیشن سائیکل
• لاگو ہونے کا بیان (SoA) ایک اہم دستاویز ہے جو آپ کے رسک ٹریٹمنٹ کے فیصلوں کو انیکس اے کنٹرولز سے جوڑتا ہے۔
• ISO 27001 سرٹیفیکیشن EU پبلک پروکیورمنٹ، انٹرپرائز سیلز، اور انشورنس انڈر رائٹنگ کے لیے تیزی سے درکار ہے۔

---

ISO 27001 فریم ورک کا ڈھانچہ

ISO 27001:2022 ہائی لیول سٹرکچر (HLS) کی پیروی کرتا ہے — ISO مینجمنٹ سسٹم کے تمام معیارات (ISO 9001, ISO 14001, ISO 22301, وغیرہ) کے ذریعے مشترکہ فریم ورک۔ یہ ایک ساتھ متعدد ISO معیارات کو نافذ کرنے والی تنظیموں کے لیے مربوط انتظامی نظام کو قابل بناتا ہے۔

بنیادی شقیں (4-10) — لازمی تقاضے:

ملحقہ A — حوالہ کنٹرول کے مقاصد: چار تھیمز پر 93 کنٹرولز جو بہترین پریکٹس سیکیورٹی کنٹرولز کی نمائندگی کرتے ہیں۔ SoA اس بات کا تعین کرتا ہے کہ کون سے Annex A کنٹرولز آپ کے ISMS دائرہ کار پر لاگو ہوتے ہیں۔

---

مرحلہ 1 — ISMS دائرہ کار کی وضاحت کریں۔

دائرہ کار آپ کے ISMS کی حدود کا تعین کرتا ہے — کیا شامل ہے اور کیا خارج کیا گیا ہے۔ دائرہ کار کے فیصلے بنیادی طور پر سرٹیفیکیشن کی لاگت اور پیچیدگی کو متاثر کرتے ہیں۔

** دائرہ کار کی تعریف پر غور:**

• جغرافیائی حدود: مخصوص دفاتر، ڈیٹا سینٹرز، دور دراز کے کارکن
• تنظیمی حدود: مخصوص کاروباری اکائیاں، محکمے، یا ذیلی ادارے
• دائرہ کار میں معلوماتی اثاثے: مخصوص نظام، ڈیٹا سیٹ، عمل
• دائرہ کار سے باہر کے نظام اور تیسرے فریق کے ساتھ انٹرفیس

** عام اسکوپنگ نقطہ نظر:**

تنگ دائرہ: صرف مخصوص کسٹمر طبقہ یا پروڈکٹ سے براہ راست تعلق رکھنے والے سسٹمز اور پروسیسز کا احاطہ کریں۔ تصدیق کرنے کے لیے تیز اور سستا لیکن صارفین کو یقین دہانی کی قدر محدود۔

وسیع دائرہ: پوری تنظیم کا احاطہ کریں۔ زیادہ سے زیادہ یقین دہانی لیکن سب سے زیادہ نفاذ لاگت۔

کلاؤڈ ہوسٹڈ سروس کا دائرہ: SaaS کمپنیوں کے لیے، دائرہ کار عام طور پر کلاؤڈ انفراسٹرکچر، ایپلیکیشن کوڈ، اور سروس کو سپورٹ کرنے والے آپریشنل پروسیسز کا احاطہ کرتا ہے — فزیکل اور انفراسٹرکچر کنٹرولز کے لیے کلاؤڈ فراہم کنندہ SOC 2/ISO 27001 سرٹیفیکیشن کا فائدہ اٹھانا۔

اسکوپ کا دستاویزی ہونا ضروری ہے اور اسے سرٹیفیکیشن دستاویزات میں شامل کیا جانا چاہیے۔ آڈیٹرز دائرہ کار کی حدود کے اندر کنٹرولز کی جانچ کریں گے اور دائرہ سے باہر عناصر کے ساتھ انٹرفیس کی تصدیق کریں گے۔

---

مرحلہ 2 — انفارمیشن سیکیورٹی رسک اسیسمنٹ

خطرے کی تشخیص (شق 6.1.2) ISO 27001 کی طریقہ کار کی بنیاد ہے۔

1. انفارمیشن سیکیورٹی رسک اسیسمنٹ کے عمل کو قائم اور لاگو کرتا ہے۔
2. ISMS دائرہ کار میں رازداری، سالمیت، اور معلومات کی دستیابی کے نقصان سے وابستہ خطرات کی نشاندہی کرتا ہے۔
3. خطرات کا تجزیہ اور اندازہ کرتا ہے۔

اثاثہ پر مبنی خطرے کی تشخیص کا طریقہ:

1. اثاثہ انوینٹری: دائرہ کار میں تمام معلوماتی اثاثوں کی فہرست بنائیں (سسٹم، ڈیٹا بیس، جسمانی دستاویزات، لوگ، عمل، تیسرے فریق کی خدمات)
2. خطرے کی شناخت: ہر اثاثے کے لیے، ممکنہ خطرات کی نشاندہی کریں (بیرونی حملہ، اندرونی خطرہ، حادثاتی طور پر حذف ہونا، ہارڈویئر کی ناکامی، قدرتی آفت وغیرہ)
3. خطرے کی شناخت: خطرات کی نشاندہی کریں جن سے خطرات سے فائدہ اٹھایا جا سکتا ہے (بغیر پیچ شدہ سافٹ ویئر، کمزور پاس ورڈ، رسائی کے کنٹرول کی کمی، وغیرہ)
4. اثر کا اندازہ: ہر خطرے/خطرے کے امتزاج کے لیے، ایک متعین پیمانے کا استعمال کرتے ہوئے رازداری، سالمیت، اور دستیابی پر ممکنہ اثرات کا اندازہ لگائیں (مثلاً، 1–5)
5. امکانات کی تشخیص: ایک متعین پیمانے کا استعمال کرتے ہوئے خطرے سے فائدہ اٹھانے کے خطرے کے امکان کا اندازہ لگانا
6. خطرے کی درجہ بندی: خطرہ = اثر × امکان کا حساب لگائیں۔ خطرے کی قبولیت کا معیار قائم کریں (مثال کے طور پر، ایک خاص سکور سے زیادہ خطرات کے لیے علاج کی ضرورت ہوتی ہے)

** رسک رجسٹر فارمیٹ:**

---

مرحلہ 3 - رسک ٹریٹمنٹ پلان اور قابل اطلاق کا بیان

آپ کی قبولیت کی حد سے اوپر ہر خطرے کے لیے، خطرے کے علاج کا اختیار منتخب کریں:

• کمی کریں: خطرے کو کم کرنے کے لیے سیکیورٹی کنٹرولز کو نافذ کریں۔
• قبول کریں: خطرے کی دستاویز قبولیت (عام طور پر کم اثر والے، کم امکان والے خطرات کے لیے)
• منتقلی: تیسرے فریق کو خطرہ منتقل کریں (انشورنس، آؤٹ سورسنگ)
• پرہیز: اس سرگرمی کو بند کریں جو خطرہ پیدا کرتی ہے۔

**اطلاق کا بیان (SoA): مرکزی تعمیل دستاویز۔ 93 انیکس اے کنٹرولز میں سے ہر ایک کے لیے، SoA ریکارڈ کرتا ہے:

• آیا کنٹرول آپ کے دائرہ کار پر لاگو ہوتا ہے۔
• چاہے اسے فی الحال نافذ کیا گیا ہو۔
• شامل کرنے یا خارج کرنے کا جواز

ایس او اے وہ ہے جسے آڈیٹر سب سے زیادہ قریب سے جانچتے ہیں۔ ہر اخراج کا جواز ہونا چاہیے - اور یقین کے ساتھ جائز ہونا چاہیے۔ عام جائز اخراج: صرف کلاؤڈ تنظیموں کے لیے جسمانی حفاظتی کنٹرولز (کلاؤڈ فراہم کنندہ کے زیر انتظام ڈیٹا سینٹرز)، اگر کوئی اہم فریق ثالث تعلقات موجود نہیں ہیں تو سپلائر مینجمنٹ کنٹرولز۔

---

مرحلہ 4 — انیکس اے کنٹرولز کو لاگو کریں۔

ISO 27001:2022 Annex A 93 کنٹرولز کو چار تھیمز میں ترتیب دیتا ہے۔ ٹیکنالوجی پر مبنی تنظیموں کے لیے کلیدی کنٹرول:

تنظیمی کنٹرول (37 کنٹرولز)

کلیدی کنٹرول میں شامل ہیں:

• 5.1 معلومات کے تحفظ کے لیے پالیسیاں: دستاویزی، منظور شدہ، مواصلاتی سیکیورٹی پالیسی اور موضوع سے متعلق پالیسیاں
• 5.2 انفارمیشن سیکیورٹی کے کردار اور ذمہ داریاں: CISO/سیکیورٹی آفیسر کے کردار کی وضاحت؛ دستاویزی حفاظتی ذمہ داریاں
• 5.7 تھریٹ انٹیلیجنس (2022 میں نئی): تنظیم سے متعلقہ خطرے کی انٹیلی جنس جمع اور تجزیہ کریں
• 5.9 معلومات اور دیگر متعلقہ اثاثوں کی انوینٹری: ملکیت کے ساتھ اثاثوں کی انوینٹری کو برقرار رکھا گیا
• 5.15 رسائی کنٹرول: رسائی کنٹرول پالیسی؛ کم از کم استحقاق؛ باضابطہ رسائی کے انتظام کے طریقہ کار
• 5.16 شناخت کا انتظام: مکمل شناختی لائف سائیکل کا انتظام
• 5.17 توثیق کی معلومات: پاس ورڈ/توثیق کی سند کے انتظام کی پالیسی اور طریقہ کار
• 5.20 فراہم کنندگان کے معاہدوں کے اندر سیکیورٹی کو ایڈریس کرنا: سپلائرز اور شراکت داروں کے ساتھ معاہدوں میں سیکیورٹی کے تقاضے
• 5.23 کلاؤڈ سروسز کے استعمال کے لیے انفارمیشن سیکیورٹی (2022 میں نئی): کلاؤڈ سیکیورٹی پالیسیاں، کلاؤڈ سروس کا انتخاب، نگرانی

لوگوں کے کنٹرول (8 کنٹرول)

• 6.1 اسکریننگ: ملازمت سے پہلے اور دورانِ پس منظر کی جانچ
• 6.2 ملازمت کی شرائط و ضوابط: ملازمت کے معاہدوں میں سیکیورٹی سے متعلق شرائط
• 6.3 معلومات کی حفاظت سے متعلق آگاہی، تعلیم، اور تربیت: سالانہ تربیتی پروگرام، مخصوص کردار کی تربیت، فشنگ سمولیشنز
• 6.4 تادیبی عمل: سیکیورٹی پالیسی کی خلاف ورزیوں کے لیے رسمی عمل
• 6.6 رازداری یا غیر افشاء معاہدے: ملازمین اور ٹھیکیداروں کے ساتھ NDAs

فزیکل کنٹرولز (14 کنٹرولز)

• 7.1 جسمانی تحفظ کے دائرے: حفاظتی حدود کی وضاحت؛ محفوظ علاقوں تک رسائی کا کنٹرول
• 7.4 فزیکل سیکیورٹی مانیٹرنگ (2022 میں نیا): CCTV، دخل اندازی کا پتہ لگانا، لاگز تک رسائی
• 7.7 صاف ڈیسک اور واضح اسکرین: پالیسی اور نفاذ؛ سکرین تالے؛ دن کے آخر میں ڈیسک صاف کریں۔
• 7.10 اسٹوریج میڈیا: ہٹنے کے قابل میڈیا کا انتظام؛ محفوظ تصرف

تکنیکی کنٹرولز (34 کنٹرولز)

• 8.2 مراعات یافتہ رسائی کے حقوق: مراعات یافتہ اکاؤنٹ کا انتظام؛ صرف وقتی رسائی؛ مراعات یافتہ سیشن کی نگرانی
• 8.4 سورس کوڈ تک رسائی: سورس کوڈ تک محدود رسائی؛ کوڈ کا جائزہ لینے کی ضروریات
• 8.5 محفوظ تصدیق: MFA؛ محفوظ تصدیقی پروٹوکول
• 8.7 میلویئر کے خلاف تحفظ: تمام اینڈ پوائنٹس پر اینٹی میلویئر؛ میل اور ویب فلٹرنگ
• 8.8 تکنیکی کمزوریوں کا انتظام: کمزوری کی اسکیننگ؛ پیچنگ SLA؛ دخول کی جانچ
• 8.9 کنفیگریشن مینجمنٹ (2022 میں نیا): دستاویزی سیکیورٹی بیس لائنز؛ ترتیب کے انتظام کے عمل
• 8.10 معلومات کو حذف کرنا (2022 میں نیا): جب مزید ضرورت نہ ہو تو محفوظ حذف کرنا
• 8.11 ڈیٹا ماسکنگ (2022 میں نیا): غیر پیداواری ماحول میں حساس ڈیٹا کی ماسکنگ
• 8.12 ڈیٹا لیکیج کی روک تھام (2022 میں نیا): غیر مجاز ڈیٹا کے اخراج کو روکنے کے لیے DLP ٹولز
• 8.15 لاگنگ: جامع آڈٹ لاگنگ؛ لاگ تحفظ؛ لاگ جائزہ
• 8.16 مانیٹرنگ سرگرمیاں (2022 میں نئی): نیٹ ورک اور سسٹم کی نگرانی؛ SIEM
• 8.23 ویب فلٹرنگ (2022 میں نیا): بدنیتی پر مبنی مواد سے حفاظت کے لیے ویب مواد فلٹرنگ
• 8.25 محفوظ ترقیاتی لائف سائیکل: محفوظ SDLC پالیسی؛ ترقی میں سیکورٹی کی ضروریات؛ کوڈ کا جائزہ؛ SAST/DAST
• 8.26 ایپلیکیشن سیکیورٹی کے تقاضے: نئی اور بہتر ایپلی کیشنز کے لیے سیکیورٹی کے تقاضوں کی تعریف
• 8.27 محفوظ نظام کے فن تعمیر اور انجینئرنگ کے اصول (2022 میں نیا): ڈیزائن کے لحاظ سے سیکیورٹی؛ گہرائی میں دفاع
• 8.28 محفوظ کوڈنگ (2022 میں نیا): محفوظ کوڈنگ کے معیارات؛ کوڈ کا جائزہ؛ جامد تجزیہ
• 8.29 ترقی اور قبولیت میں سیکیورٹی ٹیسٹنگ: SDLC کے حصے کے طور پر سیکیورٹی ٹیسٹنگ؛ گو لائیو سے پہلے دخول کی جانچ
• 8.34 آڈٹ ٹیسٹنگ کے دوران انفارمیشن سسٹمز کا تحفظ: رکاوٹ کو کم سے کم کرنے کے لیے آڈٹ کی سرگرمیوں میں کوآرڈینیشن

---

مرحلہ 5 — دستاویزات اور ریکارڈز

ISO 27001 کو مخصوص دستاویزی معلومات (پالیسیوں اور ریکارڈ) کی ضرورت ہوتی ہے۔ کم از کم دستاویزات کا سیٹ:

لازمی دستاویزات:

• ISMS دائرہ کار دستاویز
• انفارمیشن سیکیورٹی پالیسی
• معلومات کی حفاظت کے خطرے کی تشخیص کا طریقہ کار
• رسک رجسٹر اور رسک ٹریٹمنٹ پلان
• قابل اطلاق ہونے کا بیان
• اندرونی آڈٹ پروگرام اور رپورٹس
• انتظامی جائزہ کے ریکارڈ
• تربیت اور آگاہی کے ریکارڈ

موضوع سے متعلق تجویز کردہ پالیسیاں:

• رسائی کنٹرول پالیسی
• قابل قبول استعمال کی پالیسی
• اثاثہ جات کے انتظام کی پالیسی
• کاروبار کا تسلسل اور DR پالیسی
• انتظامی پالیسی کو تبدیل کریں۔
• خفیہ نگاری اور کلیدی انتظامی پالیسی
• واقعے کے جواب کی پالیسی
• ریموٹ ورکنگ پالیسی
• سپلائر سیکیورٹی پالیسی
• خطرے کے انتظام کی پالیسی

---

مرحلہ 6 - اندرونی آڈٹ پروگرام

شق 9.2 میں ISMS کی تمام ضروریات اور Annex A کنٹرولز کا احاطہ کرنے والے منصوبہ بند وقفوں پر کئے جانے والے اندرونی آڈٹ کے پروگرام کی ضرورت ہے۔ داخلی آڈیٹرز کو قابل اور معروضی ہونا چاہیے (اپنے کام کا خود آڈٹ نہیں کرنا)۔

اندرونی آڈٹ اپروچ:

• سالانہ داخلی آڈٹ پلان جس میں تمام ISMS شقوں اور تمام قابل اطلاق Annex A کنٹرولز کا احاطہ کیا گیا ہے
• خطرے پر مبنی نمونے: زیادہ خطرہ والے علاقوں میں زیادہ کثرت سے ٹیسٹ کریں۔
• دستاویزی ثبوت جمع کرنا اور غیر مطابقت کی ریکارڈنگ
• انتظامیہ کو رپورٹ کریں؛ بند کرنے کے لیے اصلاحی اقدامات کو ٹریک کریں۔

ساکھ کے لیے اندرونی آڈیٹرز کو سند یافتہ ہونا چاہیے (ISO 27001 لیڈ آڈیٹر یا اندرونی آڈیٹر کی تربیت)۔ بہت سی تنظیمیں دوسرے شعبہ کا طریقہ استعمال کرتی ہیں (آئی ٹی آڈیٹنگ سیکیورٹی، سیکیورٹی آڈیٹنگ آئی ٹی) یا معروضیت کے لیے کسی بیرونی فرم کو شامل کرتی ہیں۔

---

مرحلہ 7 — انتظامی جائزہ

شق 9.3 میں اعلیٰ انتظامیہ کی ضرورت ہوتی ہے کہ وہ منصوبہ بند وقفوں (عام طور پر سالانہ) پر ISMS کا جائزہ لے۔ انتظامی جائزہ کا احاطہ کرنا چاہیے:

• پچھلے جائزوں سے اعمال کی حیثیت
• ISMS سے متعلقہ خارجی اور اندرونی مسائل میں تبدیلیاں
• ISMS کی کارکردگی پر تاثرات (سیکیورٹی کے واقعات، آڈٹ کے نتائج، نگرانی، KPIs)
• دلچسپی رکھنے والی جماعتوں سے آراء
• خطرے کی تشخیص اور رسک ٹریٹمنٹ پلان کی حیثیت کے نتائج
• مسلسل بہتری کے مواقع

انتظامی جائزہ آؤٹ پٹ: مسلسل بہتری کے مواقع، ISMS تبدیلیوں، وسائل کی ضروریات پر فیصلے۔

---

سرٹیفیکیشن کا عمل

سرٹیفیکیشن باڈی کا انتخاب کریں: قومی ایکریڈیٹیشن باڈی کے ذریعہ تسلیم شدہ ہونا ضروری ہے (برطانیہ میں UKAS، جرمنی میں DAkkS، US میں ANAB، آسٹریلیا/NZ میں JAS-ANZ)۔ عالمی قبولیت کے لیے IAF کی پہچان چیک کریں۔

مرحلہ 1 آڈٹ (دستاویزی جائزہ): آڈیٹر آپ کے ISMS دستاویزات کا جائزہ لیتا ہے — دائرہ کار، SoA، خطرے کی تشخیص، پالیسیاں — اسٹیج 2 کے لیے تیاری کی تصدیق کرنے کے لیے۔ عام طور پر 1-2 دن۔ آؤٹ پٹ: اسٹیج 2 سے پہلے حل کرنے کے لیے نتائج/خرابیوں کی فہرست۔

گیپ کا تدارک: اسٹیج 1 کے نتائج کا پتہ۔ 4 سے 8 ہفتے لگ سکتے ہیں جو فرقوں کی نشاندہی کرتا ہے۔

**مرحلہ 2 کا آڈٹ (عملی آڈٹ): ISMS کے حقیقی نفاذ کا آن سائٹ (یا ریموٹ) آڈٹ۔ آڈیٹرز ٹیسٹ کنٹرولز، انٹرویو سٹاف، شواہد کے ریکارڈ کا جائزہ لیتے ہیں۔ دائرہ کار اور تنظیم کے سائز کے لحاظ سے عام طور پر 3-10 آڈٹ دن۔ غیر موافقت (بڑی یا معمولی) پر توجہ دی جانی چاہیے۔

سرٹیفیکیشن کا فیصلہ: سرٹیفیکیشن باڈی ISO 27001:2022 سرٹیفکیٹ جاری کرتی ہے، جو 3 سال کے لیے درست ہے۔ سرٹیفکیٹ میں دائرہ کار کا بیان شامل ہے۔

نگرانی کے آڈٹ: سرٹیفکیٹ سائیکل کے سال 1 اور 2 میں سالانہ نگرانی کے آڈٹ (سرٹیفیکیشن آڈٹ کے مقابلے میں ہلکے ٹچ)۔ سال 3 میں دوبارہ سرٹیفیکیشن آڈٹ مکمل ISMS کا احاطہ کرتا ہے۔

---

ISO 27001 نفاذ چیک لسٹ

• ISMS دائرہ کار کی وضاحت اور دستاویزی
• انفارمیشن سیکیورٹی پالیسی اعلیٰ انتظامیہ کے ذریعہ منظور شدہ
• خطرے کی تشخیص کا طریقہ کار دستاویزی اور لاگو کیا گیا ہے۔
• رسک رجسٹر تمام اہم خطرات کے لیے خطرے کی درجہ بندی کے ساتھ مکمل
• رسک ٹریٹمنٹ پلان تمام ناقابل قبول خطرات کے لیے تیار کیا گیا ہے۔
• تمام 93 ضمیمہ A کنٹرولز کے لیے قابل اطلاق کا بیان مکمل
• تمام قابل اطلاق Annex A کنٹرولز لاگو کر دیے گئے ہیں۔
• دستاویزی سیٹ مکمل (پالیسی، طریقہ کار، ریکارڈ)
• اندرونی آڈٹ پروگرام قائم اور پہلا آڈٹ مکمل ہو گیا۔
• اندرونی آڈٹ سے لے کر بند ہونے تک اصلاحی اقدامات
• انتظامی جائزہ ریکارڈ کے ساتھ مکمل
• عملے کی حفاظت سے متعلق آگاہی کی تربیت مکمل اور دستاویزی
• تسلیم شدہ سرٹیفیکیشن باڈی کا انتخاب کیا گیا اور مرحلہ 1 کا آڈٹ شیڈول کیا گیا۔
• مرحلہ 1 کے نتائج پر توجہ دی گئی۔
• مرحلہ 2 سرٹیفیکیشن آڈٹ مکمل ہو گیا۔

---

اکثر پوچھے گئے سوالات

ISO 27001 کے نفاذ میں کتنا وقت لگتا ہے؟

ایک درمیانے درجے کی ٹکنالوجی کمپنی کے لیے جو مناسب سیکیورٹی بیس لائن سے شروع ہوتی ہے، نفاذ میں عام طور پر کِک آف سے تصدیق تک 6-12 مہینے لگتے ہیں۔ بالغ حفاظتی طریقوں کے ساتھ تنظیمیں 4-6 ماہ میں سرٹیفیکیشن حاصل کر سکتی ہیں۔ پیچیدہ دائرہ کار، متعدد مقامات، یا وسیع وراثتی دستاویزات والے بڑے کاروباری اداروں کو 12-18 مہینے لگ سکتے ہیں۔ ٹائم لائن کے کلیدی ڈرائیور: دائرہ کار کی پیچیدگی، موجودہ دستاویزات کی پختگی، وسائل کی دستیابی، اور سرٹیفیکیشن باڈی شیڈولنگ۔

ISO 27001 اور ISO 27002 میں کیا فرق ہے؟

آئی ایس او 27001 مینجمنٹ سسٹم کا معیار ہے جس کے خلاف تنظیموں کو سرٹیفائیڈ کیا جاتا ہے - یہ ISMS کے قیام، عمل درآمد، برقرار رکھنے اور بہتر بنانے کے لیے تقاضوں کی وضاحت کرتا ہے۔ ISO 27002 ایک رہنمائی دستاویز ہے جو 93 Annex A کنٹرولز میں سے ہر ایک کو لاگو کرنے کے لیے بہترین مشق مشورہ فراہم کرتی ہے۔ ISO 27001 Annex A کنٹرولز پر مشتمل ہے (عام طور پر)؛ ISO 27002 بتاتا ہے کہ ان کو کیسے لاگو کیا جائے (معلوماتی طور پر)۔ ISO 27001 سرٹیفیکیشن کی ضرورت ہے؛ ISO 27002 نفاذ ہینڈ بک ہے۔ آپ "ISO 27002 مصدقہ" نہیں ہو سکتے — صرف ISO 27001 سرٹیفیکیشن موجود ہے۔

کیا ہم اپنی تنظیم کے صرف ایک حصے کے لیے ISO 27001 سرٹیفیکیشن حاصل کر سکتے ہیں؟

ہاں — ISO 27001 کسی مخصوص سروس، پروڈکٹ لائن، ڈیپارٹمنٹ، یا مقام تک اسکوپنگ کی اجازت دیتا ہے۔ ایک SaaS کمپنی اپنے ISO 27001 سرٹیفیکیشن کا دائرہ اپنے کلاؤڈ ہوسٹڈ پروڈکٹ پلیٹ فارم تک لے سکتی ہے جس میں بیک آفس HR اور فنانس سسٹمز شامل نہیں ہیں۔ سرٹیفیکیشن سرٹیفکیٹ دائرہ کار کی وضاحت کرے گا، اور صارفین اور آڈیٹرز سمجھتے ہیں کہ کنٹرولز بیان کردہ دائرہ کار کی حدود میں لاگو ہوتے ہیں۔ ایک تنگ دائرہ کا مطلب تیز، سستا سرٹیفیکیشن ہے لیکن ان صارفین کو کم یقین دہانی فراہم کرتا ہے جو آپ کی پوری تنظیم میں اعتماد چاہتے ہیں۔

ISO 27001 SOC 2 سے کیسے مختلف ہے؟

دونوں ہی معلومات کی حفاظت کا پتہ دیتے ہیں لیکن مختلف فریم ورک اور سامعین سے۔ ISO 27001 ایک بین الاقوامی مینجمنٹ سسٹم کا معیار ہے جو تین سالہ سرٹیفکیٹ تیار کرتا ہے۔ آڈٹ تصدیق شدہ سرٹیفیکیشن باڈیز کے ذریعہ کئے جاتے ہیں۔ یہ یورپ، ایشیا پیسیفک اور مشرق وسطیٰ کی خریداری میں بڑے پیمانے پر پہچانا جاتا ہے۔ SOC 2 امریکی نژاد تصدیقی فریم ورک ہے جو ایک رپورٹ تیار کرتا ہے (قسم I یا قسم II) جس کا کسٹمر آڈیٹرز کے ذریعہ جائزہ لیا جاتا ہے۔ یہ ٹرسٹ سروس کے معیار پر توجہ مرکوز کرتا ہے؛ یہ بنیادی طور پر امریکی انٹرپرائز کے خریداروں کو درکار ہے۔ کنٹرولز کافی حد تک اوورلیپ ہوتے ہیں۔ بہت سی تنظیمیں دونوں کا تعاقب کرتی ہیں — امریکی انٹرپرائز سیلز کے لیے SOC 2، بین الاقوامی اور سرکاری خریداری کے لیے ISO 27001۔

2013 کے مقابلے ISO 27001:2022 میں اہم تبدیلیاں کیا ہیں؟

کلیدی تبدیلیاں: (1) ضمیمہ A 14 زمرہ جات/114 کنٹرولز سے 4 تھیمز/93 کنٹرولز تک تشکیل نو۔ (2) 11 نئے کنٹرولز شامل کیے گئے: خطرے کی ذہانت، کاروباری تسلسل کے لیے ICT کی تیاری، فزیکل سیکیورٹی مانیٹرنگ، کنفیگریشن مینجمنٹ، معلومات کو ڈیلیٹ کرنا، ڈیٹا ماسکنگ، ڈیٹا لیکیج کی روک تھام، نگرانی کی سرگرمیوں، ویب فلٹرنگ، محفوظ کوڈنگ، اور کلاؤڈ سروسز کے لیے انفارمیشن سیکیورٹی؛ (3) کوئی کنٹرول حذف نہیں کیا گیا — موجودہ کنٹرولز کو ضم اور دوبارہ منظم کیا گیا تھا۔ (4) شق 6.3 نے منظم ISMS تبدیلیوں کے لیے "تبدیلیوں کی منصوبہ بندی" کا اضافہ کیا ہے۔ (5) وضاحت کے لیے الفاظ کی تازہ کاری۔ بنیادی انتظامی نظام کا ڈھانچہ (شق 4-10) بڑی حد تک غیر تبدیل شدہ ہے۔

ISO 27001 سرٹیفیکیشن کی قیمت کتنی ہے؟

کل اخراجات تنظیم کے سائز اور دائرہ کار کے لحاظ سے نمایاں طور پر مختلف ہوتے ہیں: سرٹیفیکیشن باڈی آڈٹ فیس: $8,000–$50,000+ دائرہ کار اور آڈٹ کے دنوں کے لحاظ سے؛ کنسلٹنسی (اختیاری): $30,000–$150,000 معاون نفاذ کے لیے؛ داخلی عملے کا وقت: عمل درآمد اور دستاویزات میں 200–1,000+ گھنٹے؛ ٹولنگ (GRC پلیٹ فارم، کمزوری اسکیننگ، SIEM): $10,000–$100,000/سال؛ سالانہ نگرانی کے آڈٹ: اسٹیج 2 کی لاگت کا تقریباً 30-50%۔ تنگ دائرہ کار والی چھوٹی تنظیمیں $40,000–$80,000 کل میں سرٹیفیکیشن حاصل کر سکتی ہیں۔ درمیانے درجے کی تنظیمیں عام طور پر اپنے پہلے سرٹیفیکیشن سائیکل میں $100,000–$300,000 کی سرمایہ کاری کرتی ہیں۔

---

اگلے اقدامات

آئی ایس او 27001 سرٹیفیکیشن ایک اسٹریٹجک سرمایہ کاری ہے جو صارفین کے اعتماد میں اضافہ، انٹرپرائز سیلز ایکسلریشن، سائبر انشورنس پریمیم میں کمی، اور سیکیورٹی کی ساخت میں بہتری کے ذریعے ادائیگی کرتی ہے۔ ٹیکنالوجی کمپنیوں کے لیے، SOC 2 کے ساتھ ISO 27001 کو لاگو کرنا انٹرپرائز خریداروں کے تحفظ کے تقاضوں کی جامع عالمی کوریج فراہم کرتا ہے۔

ECOSIRE کی ٹیم ٹیکنالوجی کمپنیوں کو ISO 27001 سے منسلک سیکیورٹی مینجمنٹ پروگراموں کو نافذ کرنے میں مدد کرتی ہے، جس میں کلاؤڈ ماحول، ایپلیکیشن سیکیورٹی، اور منظم سروس ڈیلیوری میں تکنیکی کنٹرول کے نفاذ میں مہارت ہے۔

شروع کریں: ECOSIRE سروسز

• ڈس کلیمر: یہ گائیڈ صرف معلوماتی مقاصد کے لیے ہے۔ ISO 27001 سرٹیفیکیشن کے تقاضوں کی تصدیق کسی تسلیم شدہ سرٹیفیکیشن باڈی سے ہونی چاہیے۔ مخصوص نفاذ کے تقاضے تنظیم کے سائز، دائرہ کار اور صنعت کے لحاظ سے مختلف ہوتے ہیں۔*