فن آوران گیتی افروز
آمادگی برای صدور گواهی ISO 27001:2022 و SOC 2 Type 2آموزش، ممیزی و انطباقپایدار

در ۶ ماه گواهی ISO 27001 بگیرید — بدون استرس ممیز، بدون انبار اسناد بی‌مصرف

مسیر کامل از Gap Assessment تا Stage-2 Audit با تیمی که بیش از ۴۰ پروژه ISMS را در صنایع بانک، فین‌تک، سلامت و دولت به سرانجام رسانده است.

+۴۰ پروژه ISO 27001 موفقهمکاری با ۳ Certification Body معتبرنرخ موفقیت ۱۰۰٪ در Stage-2
درخواست جلسه ارزیابی آمادگی رایگانمشاهده معماری ISMS
آموزش، ممیزی و انطباق
ISO 27001
Governance
Governance Layer
  • Gap Assessment جامع
  • Risk Assessment استاندارد
  • Policy Library سفارشی‌سازی
  • Statement of Applicability
Risk
Risk Management Layer
  • Policy Library سفارشی‌سازی
  • Statement of Applicability
  • Control Implementation Coa
  • Internal Audit حرفه‌ای
Control
Control Implementation
  • Control Implementation Coa
  • Internal Audit حرفه‌ای
  • Management Review استاندار
  • Pre-Audit Mock کامل
Monitoring
Monitoring & Review
  • Management Review استاندار
  • Pre-Audit Mock کامل
  • Audit Liaison با Certifica
  • Continuous Improvement سال
۱۰۰٪
نرخ قبولی در Stage-2 Audit در پنج سال گذشته
6 فاز
روش‌شناسی ساختاریافته
10+
Deliverable مستند
3+
بازخورد مستقیم مشتری
Our Methodology

چارچوب اجرایی ISMS ما چگونه ساخته می‌شود

معماری آمادگی ما بر اساس ISO 27001:2022 (۹۳ کنترل Annex A در ۴ تم: Organizational, People, Physical, Technological)، استاندارد Risk Management بر پایه ISO 27005 و الزامات SOC 2 Trust Services Criteria طراحی شده است. تمام مستندات، Risk Register، SoA و شواهد ممیزی در یک GRC مرکزی نگهداری می‌شوند تا در هر لحظه آماده ارائه به ممیز باشند.

01

Governance Layer

تعریف Scope، Context، نقش‌ها، Management Commitment و Policy سطح بالا

02

Risk Management Layer

شناسایی، تحلیل و درمان ریسک بر اساس ISO 27005 با Risk Register زنده

03

Control Implementation

پیاده‌سازی عملیاتی ۹۳ کنترل Annex A در ۴ تم استاندارد ۲۰۲۲

04

Monitoring & Review

Internal Audit، KPI، Management Review و چرخه بهبود مستمر PDCA

چارچوب‌ها و استانداردهای مرجع
ISO 270012022ISO 270022022ISO 270052022SOC 2TSC 2017 (rev. 2022)ISO 27017CloudISO 27701PIMS
Deliverables

۱۰ مولفه کلیدی که پروژه آمادگی ISO 27001 ما را متمایز می‌کند

هر deliverable در پایان engagement به‌صورت مستند، executive-ready و قابل ارائه به هیأت مدیره به شما تحویل داده می‌شود.

Gap Assessment جامع

فاز ۱

ارزیابی دقیق فاصله وضعیت فعلی سازمان شما با الزامات ISO 27001:2022.

تصمیم‌گیری مبتنی بر داده برای شروع پروژه

Risk Assessment استاندارد

ISO 27005

ارزیابی ریسک طبق ISO 27005 با Risk Register قابل دفاع در Stage-2.

Risk Register قابل دفاع در برابر هر ممیز

Policy Library سفارشی‌سازی‌شده

Policy

۲۴ سند استاندارد ISMS متناسب با عملیات واقعی سازمان شما — نه Template کپی‌شده.

سیاست‌هایی که واقعاً اجرا می‌شوند

Statement of Applicability Builder

SoA

تهیه SoA تفصیلی برای ۹۳ کنترل Annex A با توجیه روشن هر شمول یا حذف.

SoA قابل دفاع در ۱۵ دقیقه به جای ۱۵ ساعت

Control Implementation Coaching

Coaching

همراهی هفتگی تیم IT و HR در پیاده‌سازی عملیاتی ۹۳ کنترل Annex A.

کنترل‌هایی که واقعاً در عملیات جاری هستند

Internal Audit حرفه‌ای

فاز ۴

ممیزی داخلی با عمق Stage-2 برای شناسایی Non-Conformity پیش از ممیز خارجی.

صفر شدن Surprise در Stage-2

Management Review استاندارد

Governance

آماده‌سازی و تسهیل جلسه Management Review طبق بند ۹.۳ استاندارد.

Management Commitment قابل اثبات در Stage-2

Pre-Audit Mock کامل

Pre-Audit

شبیه‌سازی ۲ روزه Stage-2 با ممیزانی که قبلاً برای Certification Body کار کرده‌اند.

اعتماد به نفس کامل تیم در روز ممیزی

Audit Liaison با Certification Body

Stage-1 & 2

حضور کنار شما در Stage-1 و Stage-2 برای پاسخ‌گویی و مدیریت یافته‌ها.

هیچ سازمانی به‌تنهایی با ممیز روبه‌رو نمی‌شود

Continuous Improvement سالانه

پس از گواهی

نگهداری ISMS و آماده‌سازی برای Surveillance Audit سالانه و Recertification.

حفظ گواهی بدون استرس برای سال‌های آینده
Engagement Journey

از ارزیابی تا صدور گواهی در ۶ ماه — ۶ فاز شفاف

۰۱

Gap Assessment و Scope

۳ هفته

تعیین Scope، Context، مصاحبه با ذی‌نفعان و اندازه‌گیری دقیق فاصله با استاندارد.

گزارش Gap Assessment و سند Scope تأیید‌شده
۰۲

Risk Assessment و SoA

۴ هفته

اجرای ISO 27005، تهیه Risk Register، Risk Treatment Plan و Statement of Applicability.

Risk Register زنده و SoA کامل
۰۳

Policy و Procedure

۵ هفته

تدوین و سفارشی‌سازی ۲۴ سند ISMS با کارگاه‌های عملیاتی با تیم‌های سازمان.

Policy Library تأیید و منتشر شده
۰۴

Control Implementation

۸ هفته

Coaching هفتگی برای پیاده‌سازی عملیاتی ۹۳ کنترل Annex A و جمع‌آوری شواهد.

Evidence Pack کامل ۹۳ کنترل
۰۵

Internal Audit و Mgmt Review

۳ هفته

ممیزی داخلی رسمی، Management Review بر اساس بند ۹.۳ و رفع Non-Conformityها.

گزارش Internal Audit و صورتجلسه Mgmt Review
۰۶

Stage-1، Pre-Audit Mock و Stage-2

۳ هفته

همراهی در Stage-1، اجرای Pre-Audit Mock، رفع نهایی و حضور در Stage-2 ممیزی.

گواهی ISO 27001:2022
Side by Side

مسیر آمادگی ISO 27001 — مشاور سنتی، Big-4، GITA

معیار
راهکار سنتی
راهکار متداول
GITA
مدت پروژه تا Stage-2
۱۲ تا ۱۸ ماه
۹ تا ۱۲ ماه
۶ ماه
Policy واقعاً عملیاتی
Template کپی‌شده
نسبتاً سفارشی
تمام Policy با ۴ کارگاه سفارشی می‌شود
Pre-Audit Mock
ندارد
۱ روز سطحی
۲ روز کامل با ممیز Certification Body
نسخه استاندارد
۲۰۱۳ هنوز هم
۲۰۲۲ بدون عمق
۲۰۲۲ کامل با ۹۳ کنترل بازنویسی‌شده
حضور در روز ممیزی
محدود
حضور کامل کنار شما
هزینه نسبی
ارزان ولی پرریسک
بسیار گران
متعادل با ROI روشن
نگهداری پس از گواهی
ندارد
قرارداد مجزای گران
بسته سالانه شفاف
Client Outcomes

بازخورد از سازمان‌هایی که با ما گواهی گرفته‌اند

«ما قبلاً با یک شرکت دیگر شروع کرده بودیم و یک سال بعد همچنان در فاز Policy گیر بودیم. تیم GITA در ۶ ماه ما را تا گواهی رساند. تفاوت اصلی این بود که Policyها واقعاً با عملیات ما هماهنگ شدند، نه اینکه فقط امضا شوند.»
CISO — بانک خصوصی با مجوز Open Banking
«Pre-Audit Mock نقطه عطف پروژه بود. دو روز کامل با ممیزی روبه‌رو شدیم که قبلاً برای BSI کار کرده بود. ۱۲ Finding پیدا شد که در یک هفته رفع کردیم. در Stage-2 واقعی فقط ۲ OFI جزئی گرفتیم.»
Head of Compliance — فین‌تک با مجوز شاپرک
«ما همزمان ISO 27001 و SOC 2 Type 2 را دنبال می‌کردیم چون مشتری اروپایی داشتیم. تیم GITA هر دو مسیر را در یک پروژه یکپارچه پیش برد و حدود ۴۰٪ در هزینه صرفه‌جویی شد.»
VP Engineering — SaaS با مشتریان بین‌المللی
بانک — مجوز Open Banking
گواهی ISO 27001 پیش‌نیاز اعطای مجوز Open Banking و Aggregator توسط بانک مرکزی است. ما تیم‌های فنی بانک را برای کل مسیر، از Gap تا Stage-2، آماده می‌کنیم.
فین‌تک و PSP
شرکت‌های پرداخت و فین‌تک برای ادامه فعالیت با شاپرک و بانک‌ها به ISO 27001 نیاز دارند. مسیر همزمان SOC 2 نیز برای جذب سرمایه‌گذار خارجی پوشش داده می‌شود.
SaaS و Platform Provider
ارائه‌دهندگان SaaS سازمانی برای فروش به مشتریان بزرگ به ISO 27001 و SOC 2 Type 2 نیاز دارند. ما هر دو گواهی را در یک پروژه یکپارچه پوشش می‌دهیم.
سلامت و بیمارستان
بیمارستان‌ها و مراکز درمانی برای حفاظت از داده بیمار و انطباق با ابلاغیه‌های وزارت بهداشت به ISMS ساختاریافته نیاز دارند. ISO 27701 نیز در کنار آن پیاده می‌شود.
پیمانکار دولتی
پیمانکاران سازمان‌های حاکمیتی و افتا برای شرکت در مناقصات کلان به ISO 27001 نیاز دارند. ما با تجربه پروژه‌های دولتی، مسیر را تسریع می‌کنیم.
صنایع زیربنایی و یوتیلیتی
شرکت‌های برق، گاز و آب با ریسک‌های امنیتی OT و IT همزمان روبه‌رو هستند. ISMS ما هر دو حوزه را پوشش می‌دهد و با IEC 62443 هماهنگ می‌شود.
تولیدی و صنعتی
شرکت‌های تولیدی برای حفاظت از IP، Trade Secret و زنجیره تأمین، گواهی ISO 27001 را الزامی می‌بینند. ادغام با ISO 9001 موجود نیز در مدل ما لحاظ شده است.
بیمه و سرمایه‌گذاری
شرکت‌های بیمه و کارگزاری برای انطباق با الزامات بیمه مرکزی و بورس به ISMS رسمی نیاز دارند. ما با شناخت کامل ریسک‌های این حوزه، پروژه را پیش می‌بریم.
Common Questions

سؤال‌های متداول

01آیا واقعاً در ۶ ماه می‌توان گواهی ISO 27001 گرفت؟

بله، در صورتی که سازمان حداقل سطحی از زیرساخت IT بالغ داشته باشد و Management Commitment واقعی وجود داشته باشد. سازمان‌های با بلوغ پایین‌تر معمولاً ۸ تا ۹ ماه نیاز دارند. در فاز Gap Assessment تخمین دقیق ارائه می‌دهیم.

02تفاوت ISO 27001 نسخه ۲۰۲۲ با ۲۰۱۳ چیست؟

مهم‌ترین تغییر، کاهش کنترل‌های Annex A از ۱۱۴ به ۹۳ و دسته‌بندی جدید در ۴ تم (Organizational, People, Physical, Technological) است. ۱۱ کنترل جدید مثل Threat Intelligence و Cloud Security اضافه شده و چند کنترل ادغام شده‌اند. سازمان‌های دارای گواهی ۲۰۱۳ تا اکتبر ۲۰۲۵ مهلت انتقال داشتند.

03آیا ISO 27001 برای ما SOC 2 را هم پوشش می‌دهد؟

حدود ۸۰٪ کنترل‌های SOC 2 Type 2 با ISO 27001 همپوشانی دارند، ولی SOC 2 الزامات خاص خود — مثل Trust Services Criteria برای Availability و Confidentiality — را دارد. ما در یک پروژه یکپارچه هر دو مسیر را پوشش می‌دهیم تا هزینه و زمان دوچندان نشود.

04چرا Policyهای ما در پروژه قبلی شکست خوردند؟

متداول‌ترین دلیل، استفاده از Template آماده بدون سفارشی‌سازی است. ممیز Stage-2 سریع تشخیص می‌دهد که سیاست با عملیات واقعی هماهنگ نیست. مدل ما بر کارگاه‌های عملیاتی با هر تیم متمرکز است تا هر بند سیاست واقعاً اجرا شود.

05Certification Body را خودمان انتخاب می‌کنیم یا شما؟

انتخاب با شماست. ما با BSI، DNV، TUV NORD، SGS و Bureau Veritas تجربه کار داریم و می‌توانیم بر اساس بودجه، شناخت بین‌المللی و نیاز مشتریان شما، گزینه مناسب را پیشنهاد دهیم. هیچ Commission از Certification Body دریافت نمی‌کنیم.

06هزینه کل پروژه ISO 27001 چقدر است؟

هزینه آمادگی به اندازه سازمان، تعداد سامانه‌ها و سطح بلوغ فعلی بستگی دارد. هزینه Certification Body جداگانه است و معمولاً بین ۴۰۰ تا ۹۰۰ میلیون تومان برای سازمان متوسط متغیر است. در جلسه ارزیابی، برآورد شفاف و بدون هزینه پنهان ارائه می‌دهیم.

07اگر در Stage-2 Non-Conformity گرفتیم چه می‌شود؟

Non-Conformity به دو دسته Minor و Major تقسیم می‌شود. Minor با ارائه Corrective Action Plan در ۹۰ روز رفع می‌شود و گواهی صادر می‌گردد. Major نیاز به Re-Audit دارد. با Pre-Audit Mock ما، احتمال Major NC به‌شدت کم می‌شود — در ۵ سال گذشته صفر بوده است.

08Surveillance Audit سالانه چقدر طول می‌کشد؟

Surveillance Audit در سال‌های ۱ و ۲ پس از صدور گواهی برگزار می‌شود و معمولاً ۲ تا ۳ روز است. بسته نگهداری ما شامل آماده‌سازی کامل برای این ممیزی است تا تیم شما درگیر استرس سالانه نشود.

09آیا Risk Assessment باید با ISO 27005 باشد یا روش دیگر هم پذیرفته است؟

استاندارد ۲۷۰۰۱ روش‌شناسی خاصی الزام نمی‌کند، ولی روش انتخابی باید قابل تکرار، مستند و قابل دفاع باشد. ISO 27005 شناخته‌شده‌ترین چارچوب است و ممیزها به آن آشنا هستند. روش‌های جایگزین مثل NIST 800-30 یا FAIR هم پذیرفته‌اند که ما بر هر سه مسلط هستیم.

10تیم داخلی ما پس از پایان پروژه می‌تواند ISMS را نگه دارد؟

بله، این هدف اصلی مدل کار ماست. در طول پروژه با Coaching هفتگی، تیم شما تمام مهارت‌های لازم برای نگهداری Risk Register، اجرای Internal Audit و آماده‌سازی Surveillance را کسب می‌کند. در سال اول می‌توانید با بسته نگهداری سبک ما کار کنید یا کاملاً مستقل ادامه دهید.

جلسه ارزیابی آمادگی ISO 27001 رزرو کنید

۴۵ دقیقه با Lead Auditor ما صحبت کنید. وضعیت فعلی سازمان را بررسی می‌کنیم و یک نقشه راه اولیه ۶ ماهه به‌صورت رایگان ارائه می‌دهیم. بدون پرزنتیشن فروش، بدون تعهد.

رزرو جلسه Discovery دریافت SoW نمونه
تلفن
+۹۸ ۲۱ ۱۲۳۴ ۵۶۷۸
ایمیل
iso27001@gitiafrooz.com
ساعات
شنبه تا چهارشنبه — ۹ تا ۱۸
اولین جلسه رایگان، بدون پرزنتیشن فروش