ISO/IEC 27001:2013
•
3 likes•724 views
The ISO/IEC 27000 family of standards helps organizations keep information assets secure. Using this family of standards will help your organization manage the security of assets such as financial information, intellectual property, employee details or information entrusted to you by third parties. ISO/IEC 27001 is the best-known standard in the family providing requirements for an information security management system (ISMS). An ISMS is a systematic approach to managing sensitive company information so that it remains secure. It includes people, processes and IT systems by applying a risk management process. It can help small, medium and large businesses in any sector keep information assets secure.
Recommended
More Related Content
What's hot
What's hot (20)
Similar to ISO/IEC 27001:2013
Similar to ISO/IEC 27001:2013 (20)
More from Mohammad Ali Arjamfekr
ISO/IEC 27001:2013
- 1. ISO/IEC 27001:2013 Training course Mohammad Arjamfekr © 2017 ISO/IEC 27001 . All Rights Reserved.
- 2. Information Security Management System Mohammad Arjamfekr © 2017 ISO/IEC 27001 . All Rights Reserved.
- 4. M.ArjamfekrM.Arjamfekr دوره اول سواﻻت: •ارتباطISMSايزو و٢٧٠٠١چيست؟ •مخاطره دهنده تشكيل اصلي قسمتهاي يا پارامترها)ريسك( چيست؟ اطﻼعات امنيت •SOAاست؟ مطالبي چه حاوي و است مستندي چه •ايزو استاندارد كنترلهاي٢٧٠٠١بند؟ چند در و هستند تا چند •ببريد؟ نام را مميزي انواع •ببريد؟ نام را آن انواع و تعريف را انطباق عدم •ببريد؟ نام را مميزي فنون
- 6. M.ArjamfekrM.Arjamfekr الزامات وتشريح مفاهيمسيستماطﻼعات امنيت مديريت ISO/IEC 27001:2013
- 7. M.ArjamfekrM.Arjamfekr خانواده هاي استاندارد از اي تاريخچه ارائه اطﻼعات امنيت مديريت سيستم خانواده هاي استاندارد از اي تاريخچه ارائه اطﻼعات امنيت مديريت سيستم مديريت سيستم بنيادي مفهوم با آشنايي اطﻼعات امنيت مديريت سيستم بنيادي مفهوم با آشنايي اطﻼعات امنيت فرآيند و فرآيندگرا ديدگاه تشريحفرآيند و فرآيندگرا ديدگاه تشريح مخاطرات مديريت فرآيندمخاطرات مديريت فرآيند سازي برطرف طرح تهيه با آشنايي مخاطرات سازي برطرف طرح تهيه با آشنايي مخاطرات پذيري بست كار بيانيه تدوين نحوهپذيري بست كار بيانيه تدوين نحوه سازي مستند الزامات با آشناييسازي مستند الزامات با آشنايي ها كنترل و كنترلي اهداف تشريحها كنترل و كنترلي اهداف تشريح استاندارد مفهوم با آشنايياستاندارد مفهوم با آشنايي
- 8. M.ArjamfekrM.Arjamfekr International Organization for Standardization سازمانيجهانياستاندارددرسال١٩٤٧درژنوباهدفيكسانسازياستانداردهادرسراسر جهانتأسيسگرديد.اعضاءاينسازماندربدوتأسيسحدود٩٠كشوربودند. قسمتيازسيستممديريت،كليبرپايهروشريسككاري،جهت،تاسيسپياده،سازي ،عملكرد،نظارتمرور،نگهداري،وبهبودامنيتاطﻼعاتاست. ISO
- 9. M.ArjamfekrM.Arjamfekr دولتي خصوصي جهاني بخشي اعتبار نهاد(IAF) (INTERNATIONAL ACCREDITATION FORUM) دهنده اعتبار شركتهاي (UKAS-DAR-TGA-RAB-SCC) دهنده گواهي شركتهاي )TUVNORD-MIC-Aliance-SGS-IMQ-BVQI-DNV-(... دهنده گواهي شركتهاي/دهنده اعتبار/مشاور مشاور استاندارد مؤسسه ايران فناوري سازمان اطﻼعات
- 10. M.ArjamfekrM.Arjamfekr معناي به و زير كلمات از برگرفته“اطﻼعات امنيت مديريت سيستم”است. Information Security Management System مشخصهاطﻼعات امنيت مديريت براي اي اطﻼعات امنيت مديريت دستورالعمل قراردادي ارتباط براي اي پايه ثالث شخص گواهينامه پايه صنعت بخشهاي تمامي براي كاربرد قابليت گيري پيش بر تاكيد ISMSچيست؟
- 11. M.ArjamfekrM.Arjamfekr ╠╙āŧ ℅╘╡ōĴī╘╡ Ō▼Ō■ī Ī ╣☻ō☺Ŋ○ōĬ ī تاريخچهISMS 1998 BS 7799 Part 1 BS 7799 Part 2 1999 Updated version of BS 7799 Parts 1 and 2 2000 ISO/IEC 17799:2000 2001 Review of BS 7799-2 2002 BS 7799-2:2002 (revised and corrected) 2005 BS7799-1:2005 BS7799-2:2005 ISO/IEC 17799:2005 ISO/IEC 27001:2005 1995 2013 ISO/IEC 27001:2013
- 12. M.ArjamfekrM.Arjamfekr پياده مزايايسازي: مند روش و سيستماتيك وضعيت به شدن نزديك سازمان قانوني اعتبار تضمين افزايش وكار كسب تداوم هاي جنبه افزايش ريسك ارزيابي طريق از بحراني هاي دارايي شناسائي مستمر بهبود براي ساختار يك ايجاد مديريت درسطح امنيت به مربوط مسائل اهميت و شناخت افزايش سازمان در اطﻼعات امنيت دانش و فرهنگ سازي بومي ISO/IEC 27001:2013
- 13. M.ArjamfekrM.Arjamfekr بمنظور الزامات تخصيص: •مديريت سيستم يك بهبود و نگهداري ،بازنگري ،پايش ،اجرا ،سازي پياده ،ايجاد مدون اطﻼعات امنيت)ISMS( تعيين١١٤مخاطرات كاهش براي امنيتي كنترل)الف پيوست:( •بر ها كنترل كنارگذاري توجيهمخاطرات ارزيابي اساس ذينفع هاي طرف و مشتريان به دادن اطمينان •توان ميكرد استفاده گواهينامه اخذ و ارزيابي براي را آن. اطﻼعات امنيت مديريت هاي سيستم-الزامات: ISO/IEC 27001:2013
- 14. M.ArjamfekrM.Arjamfekr فنااطﻼعات وري_امنيتي هاي مهارت_Code of Practiceاطﻼعات امنيت مديريت براي تجارب بهترين كردن فراهم)Best Practice(وكنترل سازي پياده براي راهنماهاي 114الف پيوست در گانه الزامات سازي پياده جهت راهنماييISO 27001كند نمي فراهم. را آنتوان نميكرد استفاده گواهينامه اخذ و ارزيابي براي. ISO/IEC 27001:2013
- 15. M.ArjamfekrM.Arjamfekr • ISO/IEC 27000 Fundamental and Vocabulary • ISO/IEC 27001 Information Security Management Requirements • ISO/IEC 27002 Code of Practice • ISO/IEC 27003 Implementation Guidance • ISO/IEC 27004 Information security management measurements • ISO/IEC 27005 Information security risk management • ISO/IEC 27006 Requirements for certification bodies • ISO/IEC 27007 Guidelines for Information security management systems auditing • ISO/IEC 27011 Information security management guidelines for telecommunications • ISO/IEC 27031 Business Continuity • ISO/IEC 27032 Guidelines for cyber security • ISO/IEC 27033 IT network security • ISO/IEC 27034 Guidelines for application security • ISO/IEC 27035 ISIRT Information Security Incident Response Team • ISO/IEC 27799 Security Management in Health • Up to ISO 27059 Reserved for future standards خانوادهISO 27000
- 16. M.ArjamfekrM.Arjamfekr •ايناستانداردباISO 9001:2015وISO 14001:2015بهمنظور پشتيبانيازپيادهسازيواجراييكپارچهوسازگاربااستانداردهاي مديريتيمرتبط،تطبيقدادهشدهاست. •يكسيستممديريتيكهبهگونهايمناسبطراحيشدهوميتواند الزاماتتماميايناستانداردهارابرآوردهسازد. •ايناستانداردبينالملليبهگونهايطراحي،شدهتايكسازمانقادر باشدسيستممديريتامنيتاطﻼعاتشراباالزاماتسيستممديريتي ،مرتبطيكپارچهنمودهياتطبيقدهد. مديريتي هاي سيستم ساير با سازگاري: ISO/IEC 27001:2013
- 17. M.ArjamfekrM.Arjamfekr سازمان اطﻼعات تبادل فضاي هايسرويس امنيتي هايسياست هايسياستسازمان اطﻼعات تبادل فضاي افزارهايسخت امنيتي هايسياستاطﻼعات تبادل فضاي افزارهاينرم امنيتيسازمان سازمان اطﻼعات تبادل فضاي اطﻼعات و ارتباطات امنيتي هايسياست هايسياستسازمان اطﻼعات تبادل فضاي كاربران امنيتي هاي سياست تعيينامنيتي: ISO/IEC 27001:2013
- 18. M.ArjamfekrM.Arjamfekr يك مديريت و برپايي براي مدلي اطﻼعات امنيت مديريت سيستم(ISMS)است كرده فراهم مؤثر. ISO/IEC 27001:2013
- 19. M.ArjamfekrM.Arjamfekr باشد مي ارزش داراي سازمان براي كه چيزي هر. ها دارايي انواع: داراييهاياطﻼعاتي مستنداتكاغذي داراييهاينرمافزاري داراييهايفيزيكي انساني منابع سازمان شهرت و وجهه ها سرويس چيست؟ دارايي)تعريف طبقISO 27002(
- 20. M.ArjamfekrM.Arjamfekr باشند مي گيري تصميم براي مبنايي كه شده پردازش هاي داده. يك اطﻼعاتدارايـيفعاليت براي مهم هاي دارايي ساير هماننـد كه است است اساسي بسيار سازمان يك كاري هـاي. است ممكن اطﻼعات از محافظت بدون: يابد كاهش محرمانگي. دانش بدون يا با)غيرعمدي يا عمدي(شود دستكاري. برود بين از يا شده پاك ناپذيري جبران صورت به. شود دسترس غيرقابل. چيست؟ اطﻼعات)تعريف طبقISO 27002(
- 21. M.ArjamfekrM.Arjamfekr كاغذي •مستندات •متداول مراسﻼت الكترونيكي هاي رسانه •داده پايگاه سوابق •ها ايميل •CD ROM،هاDVD ROMو نوارها ،ها... ها فيلم مكالمات •مشتري به شده بيان اطﻼعات •جلسات در شده بيان اطﻼعات از هايي مثالاطﻼعات: ISO/IEC 27001:2013
- 22. M.ArjamfekrM.Arjamfekr امن صورت به اطﻼعات: •شود ايجاد. •شود استفاده. •شود ذخيره. •شود داده انتقال. شامل امنيت: •محصول امنيت •اطﻼعات فنآوري امنيت •سازماني امنيت اطﻼعات امنيت: ISO/IEC 27001:2013 Proposal
- 23. M.ArjamfekrM.Arjamfekr پذيري دسترس در صحت محرمانگي امنيت خصوصياتاطﻼعات: ISO/IEC 27001:2013
- 24. M.ArjamfekrM.Arjamfekr حفظ: محرمانگيonfidentialityC يكپارچگي و صحتntegrityI پذيري دسترسvailabilityA چيست؟ اطﻼعات امنيت ISO/IEC 27001:2013
- 25. M.ArjamfekrM.Arjamfekr غيرمجاز فرآيندهاي يا ها موجوديت ،افراد دسترس در اطﻼعات كه ويژگي نشود فاش يا نگرفته قرار. محرمانگي)Confidentiality( ISO/IEC 27001:2013
- 26. M.ArjamfekrM.Arjamfekr ها دارايي تماميت و صحت حفظ ويژگي يكپارچگي)Integrity( ISO/IEC 27001:2013
- 28. M.ArjamfekrM.Arjamfekr امنيتامنيت محرمانگيمحرمانگي امنيت ارزيابي معيارهايISO/IEC 27001:2013
- 29. M.ArjamfekrM.Arjamfekr اطﻼعات امنيت رويداد: بر دارد دﻻلت كه ،شبكه يا خدمت ،سيستم يك شده شناسايي رخداد: •اطﻼعات امنيت مشي خط احتمالي نقض •حفاظتي نقض •باشد نشده شناخته ًﻼقب و بوده مرتبط امنيت با است ممكن كه وضعيتي. اطﻼعات امنيت حادثه: از اي مجموعه يا يكرويدادهاياطﻼعات امنيتنشده بيني پيش يا ناخواستهبه كه احتمالكنند تهديد را اطﻼعات امنيت و انداخته خطر به را كار و كسب عمليات زياد. رويداد/اطﻼعات امنيت حادثه
- 30. M.ArjamfekrM.Arjamfekr ،كند مي حفاظت تهديدها از وسيعي محدوده برابر در را اطﻼعات ،اطﻼعات امنيت منظور به: كار و كسب تداوم كار و كسب به وارده خسارات كاهش اافزوده ارزش و رقابتي هاي مزيت فزايش مزايايISMS: ISO/IEC 27001:2013
- 31. M.ArjamfekrM.Arjamfekr با همراه ،سازمان درون فرآيندهاي از سيستمي بكارگيري همچنين و فرآيندها اين متقابل ارتباط تعيين و شناسايي آنها مديريت. فرآيندگرا ديدگاه: سازمان سازمان ISO/IEC 27001:2013
- 32. M.ArjamfekrM.Arjamfekr •به را ها ورودي كه ،تأثيرگذار و مرتبط هاي فعاليت مجموعهها خروجي تبديل نمايند مي. اوليه مواد آﻻت ماشين انساني نيروي سرمايه منابع فرآيند ورودي خروجي محصول ISO/IEC 27001:2013 فرآيند:
- 34. M.ArjamfekrM.Arjamfekr در اطﻼعات امنيت مديريت فرآيند چارچوبISO/IEC 27001
- 35. M.ArjamfekrM.Arjamfekr اطﻼعات امنيت مديريت سيستم الزامات ISO/IEC 27001:2013
- 36. M.ArjamfekrM.Arjamfekr ٤.سازمان ي زمينه ١.٥.تعهد و هدايت ٥.رهبري٢.٥.مشي خط ٣.٥.مسئوليت ،سازماني هاي نقشاختيارات و ها ١.٦.ها فرصت و ها ريسك شناسايي جهت اقدامات١.١.٦.كليات ٦.ريزي طرح٢.٦.طرح و اطﻼعات امنيت اهدافآن به دستيابي هاي٢.١.٦.اطﻼعات امنيت ريسك ارزيابي ٣.١.٦.اطﻼعات امنيت ريسك با مقابله ١.٤.آن محتوي و سازمان شناخت ٢.٤.ذينفعان انتظارات و نيازها درك ٣.٤.اطﻼعات امنيت مديريت سيستم عملكرد محدوده و كاربرد دامنه تعيين ٤٠٤.اطﻼعات امنيت مديريت سيستم سازي پيادهRoadmapISO 27001
- 37. M.ArjamfekrM.Arjamfekr ١.٧.منابع ٢.٧.صﻼحيت ٣.٧.رساني آگاهي ٤.٧مراوده ٥.٧.مستند اطﻼعات ١.٥.٧.كليات ٢.٥.٧.رساني روز به و ايجاد ٣.٥.٧.مستند اطﻼعات كنترل ٧.پشتيباني ٨.عملكرد ١.٨.عملكرد كنترل و طراحي ٢.٨.اطﻼعات امنيت مخاطرات ارزيابي ٣.٨.اطﻼعات امنيت ريسك كنترل ٩.عملكرد ارزيابي ١.٩.ارزيابي و تحليل ،گيري اندازه ،پايش ٢.٩.داخلي مميزي ٣.٩.مديريت بازنگري ١٠.بهبود١.١٠.اصﻼحي اقدام و انطباق عدم ٢.١٠.مستمر بهبود
- 38. M.ArjamfekrM.Arjamfekr ٤-١آن محتواي و سازمان شناخت: بايد سازمان: سازي پياده اجرا پايش بازنگري بهبود و نگهداري يك مديريت سيستم اطﻼعات امنيت درچارچوبتماميفعاليت هايكﻼنكسبوكار موجود مخاطرات ٤-سازمان ي زمينه
- 39. M.ArjamfekrM.Arjamfekr ٤-٢-ذينفعان انتظارات و ها نياز درك: كند مشخص را زير موارد بايد سازمان: ٤-٣-عملكرد محدوده و كاربرد دامنه تعيينISMS: مرزهاي شدن مشخصISMSسازمان توسط دامنه تعيين منظور به در اطﻼعات مديريت سيستم با كه ذينفعي هاي طرف هستند ارتباط مي مرتبط اطﻼعات امنيت با را ذينفعان كه الزاماتي كند
- 40. M.ArjamfekrM.Arjamfekr تعيين در توجه مورد نكاتدامنه خارجي و داخلي مشكﻼت الزامات سازمان توسط شده اجرا هاي فعاليت بين رابطه و وابستگي دسترس در و مستند اطﻼعات قالب در دامنه تدوين دامنهومرزهايسيستممديريتامنيتاطﻼعاتبرمبنايويژگيكسبوكار, ،سازمانمكان،دارائيهاوفنآوريآنتعريفميشودوهمچنينجزئياتو توجيهبرايكنارگذاريهرچيزيازدامنهراشاملميباشد.
- 41. M.ArjamfekrM.Arjamfekr مرزهاي و دامنه تعريفISMS گام١عبارتدامنه ISMS مشي خط تعريفISMS گام٢ مشي خط ISMS مخاطرات برآورد رويكرد تعريف گام٣برآورد رويكرد شده مستند مخاطرات مخاطرات شناسايي گام٤،تهديدها از ليستي و ها پذيري آسيب ها آسيب ٤-٤-اطﻼعات امنيت مديريت سيستم: اطﻼعات امنيت مديريت سيستم ايجاد هاي گام
- 42. M.ArjamfekrM.Arjamfekr مخاطرات ارزيابي و تحليل گام٥ هاي آسيب از گزارشي آنها احتمال و وكار كسب هاي گزينه ارزيابي و شناسايي مخاطرات سازي برطرف گام٦ سازي برطرف طرح مخاطرات اهداف و ها كنترل انتخاب كنترلي گام٧ و كنترلي اهداف از ليستي ها كنترل ٤-٤-اطﻼعات امنيت مديريت سيستم: اطﻼعات امنيت مديريت سيستم ايجاد هاي گام
- 43. M.ArjamfekrM.Arjamfekr مخاطرات براي مديريت مجوز كسب پيشنهادشده مانده باقي گام٨ باقي مخاطرات سوابق شده تأييد مانده پياده براي مديريت مجوز كسب سازيISMS گام٩ پياده براي مديريت مجوز سازيISMS پذيري كاربست بيانيه تهيه گام١٠ پذيري كاربست بيانيه ٤-٤-اطﻼعات امنيت مديريت سيستم مديريت و ايجاد: اطﻼعات امنيت مديريت سيستم ايجاد هاي گام
- 44. M.ArjamfekrM.Arjamfekr مرزهاي و دامنه تعريف ISMS گام١ عبارتدامنه ISMS ٤-٤-اطﻼعات امنيت مديريت سيستم ايجاد:
- 45. M.ArjamfekrM.Arjamfekr وكار كسب هاي ويژگي سازمان مكان ها دارايي تكنولوژي سطح و فنآوري نكته:دامنه از چيزي هر كنارگذاري براي توجيه و جزئيات بر مشتمل ،خوب دامنه يك نامفهوم و مبهم باشد نمي. اطﻼعات امنيت مديريت سيستم دامنه تعريف
- 46. M.ArjamfekrM.Arjamfekr مهمترينفرآيند گامسازي پياده دامنه تعريف •ها بخش شناسايي/درگير كليدي افراد •تكراري فرآيند •آگاه كاركنان شامل/كسب مسئولوكار)وكار كسب كليدي اهداف چيست؟( تعيينBoundariesسيستم دامنه به توجه با سازمان در اطﻼعات امنيت مديريت سيستم دامنه تعريف
- 47. M.ArjamfekrM.Arjamfekr قانون گذارانپيمانكاران سازمان خارجسازمان خارج-دامنه داخل سازمان داخلدامنه خارج سازمان داخل-دامنه خارج سازمان داخل دامنه سازمان داخل-داخل دامنه منابع انساني مالي بازرگان ي امنيت مشاور اجرايي و طرح برنامه و خريد تداركات مديريت ها پروژه فني مرزهاي و دامنه تعيين از مثاليISMS
- 48. M.ArjamfekrM.Arjamfekr فعاليتهايامنيت،اطﻼعاتبايدتوسطنمايندگانيازبخشهايمختلف سازمانبانقشهاوكاركردهايشغلي،مرتبطهماهنگشوند از متشكل تواند مي: اطﻼعات امنيت ارشد مدير)CISO( مديرISMS كارشناسانIT مديراننياز برحسب واحدها كاربران مديرISMSكارشناس ًالزومITنيستو امنيت مديريت سيستم سازي پياده پروژه يك ،اطﻼعاتITنيست. تيمISMSاطﻼعات امنيت مديريت سيستم در
- 49. M.ArjamfekrM.Arjamfekr امنيت تشكيﻼت ساختار و اجزاءسازمان اطﻼعات متشكلازسهجزءاصليبهشرحزيرميباشد: درسطحسياستگذاري:كميتهراهبريامنيتفضايتبادل اطﻼعاتدستگاه درسطحمديريتاجرائي:مديرامنيتفضايتبادلاطﻼعات دستگاه درسطحفني:واحدپشتيبانيامنيتفضايتبادلاطﻼعات دستگاه
- 50. M.ArjamfekrM.Arjamfekr امنيت تشكيﻼت ساختار و اجزاءاطﻼعاتسازمان
- 51. M.ArjamfekrM.Arjamfekr راهبري كميته وظايف شرحامنيت امنيتي سياستهاي تصويب و تغيير ،بررسي امنيت مدير از امنيتي سياستهاي اجراي پيگيري هاطرح تائيدامنيت هايبرنامه وسازمانشامل: oطرحامنيتي مخاطرات تحليل oامنيت طرحشبكه oخرابيها ترميم و حوادث با مقابله طرح oكاربران امنيتي رسانيآگاهي برنامه oآموزش برنامهامنيتي هاي
- 52. M.ArjamfekrM.Arjamfekr •باشند نمي شركت امنيت كارشناس ًالزوم. •يك درجه و ارشد مدير يك •ديده آموزش/اطﻼعات امنيت در صﻼحيت داراي •انجمن تشكيل از بعد يا قبل شدن عضو •امنيت به مربوط هاي فعاليت كليه مسئول مدير وظايف شرحISMS
- 53. M.ArjamfekrM.Arjamfekr مشي خط تعريف ISMS گام٢ مشي خط ISMS ٤-٤-اطﻼعات امنيت مديريت سيستم ايجاد:
- 54. M.ArjamfekrM.Arjamfekr اهداف تعيين چارچوب و امنيتي الزامات ،قانوني الزامات ،وكار كسب الزامات برگيرنده در قراردادي سازمان راهبردي مخاطرات مديريت مفهوم با هماهنگ مخاطرات ارزيابي معيار مديريت تصويب اطﻼعات امنيت مديريت سيستم مشي خط يك تعريف
- 55. M.ArjamfekrM.Arjamfekr مي سازمان مدت بلند و مدت كوتاه اهداف ،اعتقادات از باﻻ سطح بيانيه يك باشد مي اهداف از مشخصي محدوده به نيل معناي به كلي طور به و باشد. ها ويژگي: مفيد و مختصر مديره هيئت سطح در شده نوشته)مديريتي( مديريت تعهد بيان مشي خط هاي ويژگي
- 56. M.ArjamfekrM.Arjamfekr •راستاي در اطﻼعات امنيت اصول و كﻼن اهداف ،اطﻼعات امنيت از تعريفي كار و كسب اهداف و راهبرد. •برآوردسازي و استانداردها ،اصول ،امنيتي هاي مشي خط از مختصري شرح الزاماتيشامل ،دارند اهميت سازمان براي ًامشخص كه: قراردادي الزامات و قوانين ،قانوني مراجع با انطباق. كسب الزاماتوكار. •هماهنگباپذيرش معيار و مخاطرات مديريتآن. •باشند مشي خط پشتيبان است ممكن كه مستندسازي به ارجاعاتي. مشي خط محتويات
- 57. M.ArjamfekrM.Arjamfekr برآورد رويكرد تعريف مخاطرات گام٣ برآورد رويكرد مستند مخاطرات شده ٤-٤-اطﻼعات امنيت مديريت سيستم ايجاد:
- 59. M.ArjamfekrM.Arjamfekr برآوردمخاطرات •شناساييوارزيابيگزينههايي برايبرطرفسازيمخاطرات •گزينشاهدافكنترليوكنترلها برايبرطرفسازيمخاطرات •دريافتمصوبهمديريتبرايپياده سازيواجرايسيستم •مخاطرات برآورد رويكرد تعريف •مخاطرات شناسايي •مخاطرات ارزيابي و تحليل فرآيندمديريتمخاطرات سازي برطرف مخاطرات مخاطرات مديريت:
- 60. M.ArjamfekrM.Arjamfekr •شناسايييكمتدولوژيبرآوردمخاطراتكهبرايسيستممديريتامنيتاطﻼعاتو امنيتاطﻼعاتشناساييشدهكسب،وكارالزاماتقانونيوآئيننامه،ايمتناسب باشد. •است سازمان عهده بر ،متد انتخاب براي گيري تصميم.مانند:روشFMEA صرفه به مقرون بينانه واقع متعادل •مانند افزاري نرم ابزارهاي از استفاده:VS Risk،Callio،Cobraو... مخاطرات برآورد رويكرد تعريف
- 61. M.ArjamfekrM.Arjamfekr •ايجاد: مخاطرات پذيرش براي معياري مخاطرات قبول قابل سطوح •نتايج از اطمينان حصول: پذير قياس پذير تجديد مخاطرات ارزيابي فرآيندمخاطرات شناسايي مخاطرات ارزيابي و تحليل مخاطرات برآورد متدولوژي
- 62. M.ArjamfekrM.Arjamfekr مخاطرات شناسايي گام٤ ،تهديدها از ليستي و ها پذيري آسيب ها آسيب ٤-٤-اطﻼعات امنيت مديريت سيستم ايجاد:
- 63. M.ArjamfekrM.Arjamfekr مخاطره اجزاء داراييA تهديدT پذيري آسيبV موجود هاي كنترلC احتمالL اثر شدتI مخاطره=(A,T,V,C,L,I) شناساييوبرآورداجزاء،مخاطراتباتوجه بهرويكردارزيابيمخاطراتبرگزيدهشده توسط،سازمانتغييرميكند. دارد شناسايي به نياز. مخاطرات برآورد
- 64. M.ArjamfekrM.Arjamfekr تعريفدارايي: داراي سازمان براي كه چيزي هرارزشباشد. ارزيابي براي شده برگزيده متدولوژي با ها دارايي شناسايي است ممكن شود آسان مخاطرات. كسب اهداف انعكاسكار و)دارايي ارزش( ها دارايي شناسايي
- 66. M.ArjamfekrM.Arjamfekr واژهمالكيكشخصياموجوديتيرامعرفيميكندكهمسئوليتيمديريتيبراي ،كنترل،توليد،توسعه،نگهدارياستفادهوامنيتداراييهاپذيرفتهاست.واژهمالكبه اينمعنينيستكه،شخصًاواقعحقوقمالكيتنسبتبهداراييدارد. باشد مي مسئول ذيل موارد قبال در ها دارايي مالك: •مناسب امنيتي هاي كنترل تداوم و حفظ •دسترسي حقوق و امنيتي بندي طبقه بازنگري و تعريف •ها دارايي از پسنديده استفاده تعريف •شوند محول است ممكن ها مسئوليت. •باشد مي شده منصوب مالك عهده بر ،پاسخگويي مسئوليت. ها دارايي مالك شناسايي
- 67. M.ArjamfekrM.Arjamfekr •مهم هاي دارايي براي اموال سياهه تهيه •در مهم هاي داراي كليه شاملISMS •آنها محل •آنها مالك •آنها مالي ارزش اموال سياهه
- 68. M.ArjamfekrM.Arjamfekr كرد گذاري ارزش كمي نظر از توان نمي را ها دارايي كليه. نباشد آن جايگزيني هزينه شامل تنها است ممكن دارايي ارزش. گردد بيان ذيل موارد به زدن صدمه برحسب تواند مي: •،سازمان شهرت ،پرسنل و مشتريان سﻼمت و زندگي ،قانون ،تجهيزات و مشتري اعتماد... •سرويس قطع ،كار نيروي ،ها داده مجدد سازي ذخيره ،افزار نرم نصب و... •رفتن دست از ضربه عنوان به بايدCIAشود گرفته نظر در دارايي يك. ها دارايي گذاري ارزش
- 69. M.ArjamfekrM.Arjamfekr ارزش از مقياس يك تعريف •مثال عنوان به:٥-٤-٣-٢-١ •ها داده گذاري ارزش معيار تعريف •مشتري اعتماد ،وكار كسب خدمات قطع ،شهرت ،مالي ها ارزش شده تعريف مقياس با دارايي هر گذاري ارزش نهايي ارزش: •CIA •I*A*C •MAX(CIA) ها دارايي گذاري ارزش از اي نمونه
- 70. M.ArjamfekrM.Arjamfekr رديفمعياراثر شدت دارايي ارزش ١٢٣ ١ت ميزانأدارايي ثيرنظر ازماليسازمان براز كمتر٥٠ريال ميليون٥٠ريال ميليون بيشاز٥٠ميليون ريال ٢دارايي تاثيرسازمان اعتبار و وجهه برشركت داخلصنفملي/المللي بين ٣درآمد دادن دست ازمشتري)ماهانه(از كمتر١٠ميليونريال بين١٠تا١٠٠ميليون ريال ١٠٠بيش يااز١٠٠ ميليونريال ٤مشتري رضايت)تعدادشكاياتهفته هر(از كمتر٥عدد١٠عددبيشاز١٠عدد ٥ت ميزانأدارايي ثيربرروتين كاري عمليات ايجاددر وقفهفعاليت هايتا سازمان١٥دقيقه ايجاددر وقفهفعاليت هايتا سازمان ١ساعت ايجاددر وقفهفعاليت هايسازمانبيشاز ١ساعت ها دارايي گذاري ارزش از اي نمونه
- 71. M.ArjamfekrM.Arjamfekr •امنيتي مشي خط •كافي رساني آگاهي عدم •امنيتي دهي سازمان و هماهنگي عدم •روشن صورت به وظايف تقسيم و تعريف عدم •سيستم در كافي امنيت نگرفتن درنظر •امنيتي ضعف •ثالث شخص با نامناسب توافقات •سپاري برون در نامناسب ترتيبات •نشده محافظت هاي دارايي •اطﻼعات نامناسب كردن اداره يا دهي نشاني ،بندي طبقه •اقدامات براي مشي خط و راهكار فقدان و عمدي اقدام امنيتي هاي نقض منشاء
- 72. M.ArjamfekrM.Arjamfekr مخاطره اجزاء داراييA تهديدT پذيري آسيبV موجود هاي كنترلC احتمالL اثر شدتI مخاطره=(A,T,V,C,L,I) ﻻزماستقبلازارزيابيتهديدهاوآسيب پذيري،هابهطوركاملشناساييشوند. دارد شناسايي به نياز. مخاطرات برآورد
- 73. M.ArjamfekrM.Arjamfekr تهديد يكبالقوه عاملبه است ممكن كه ،ناخواسته رخداد يك براي شود منجر سازمان يا سيستم به صدمه. پذيري آسيب از تواند مي تهديد كه ها دارايي از گروهي يا دارايي يك ضعف نمايد برداري بهره ضعف اين. نمي صدمه باعث خود خودي به و تنهايي به پذيري آسيب را دارايي بتواند تهديد كه نمايد مي ايجاد را شرايطي بلكه ،شود دهد قرار تاثير تحت. ها پذيري آسيب و ها تهديد شناسايي
- 74. M.ArjamfekrM.Arjamfekr •طبيعي حوادث •و برق و رعد ،زلزله ،طوفان ،سيل...... •انساني •كاربر خطاي ،نگهداري در خطا ،كار نيروي كمبود •فني حوادث •سنگين ترافيك ،افزار سخت خرابي ،شبكه خرابي •عمدي تهديدهاي •غيرعمدي هاي تهديد تهديد از هايي نمونه
- 75. M.ArjamfekrM.Arjamfekr انسان اقدام مصاديق تصادفي)A( Accidental عمدي)D( Deliberate محيطي مصاديق)E( Environmental زلزله گردباد برق و رعد سيل)D,A( برق نوسان)A( زياد رطوبت و دما)D,A( غبار و گرد الكترومنيتيك تشعشع)D,A( الكتروستاتيك شارژ سازي ذخيره محيط تخريب انرژي و آب منابع در نقص تهويه سيستم در نقص)D( افزار سخت در نقص دفتري عمليات در خطا)D( تعميرات در اشكال)D( افزار نرم در اشكال)D( غيرمجاز افراد توسط افزار نرم از استفاده)D( غيرمجاز اي شيوه به افزار نرم از استفاده)D( قواعد از خارج افزار نرم از استفاده)D( شبكه اجزاي در فني نقص انتقال در خطا خطوط ديدن آسيب)D( شبكه در اندازه از بيش ترافيك)D( پيام مسيريابي در خطا فايل حذف)D( شبكه خدمات مثال ارتباطي خدمات در نقض)D( از استفاده ،بمب با حمله ،صنعتي اقدامات افروزي آتش ،سﻼح)A( عمدي آسيب دزدي سازي ذخيره محيط از غيرمجاز استفاده هويت جعل و هويت تغيير مخرب افزارهاي نرم)A( متعارف دسترسي از نادرست استفاده شبكه به غيرمجاز دسترسي شبكه تجهيزات از غيرمجاز استفاده شنود ارتباطي تجهيزات در نفوذ شبكه ترافيك تحليل پيام مسير تغيير زدن سرباز و انكار منابع از نادرست استفاده)A( ISO/IEC 27005:2008,ISO/IEC TR 13335-3 متعارف تهديدهاي انواع
- 76. M.ArjamfekrM.Arjamfekr •كليدي پرسنل فقدان •متزلزل برق هاي رشته •امنيتي سازي آگاه كمبود •عبور رمز حقوق نادرست تخصيص •امنيت ناكافي آموزش •نصب عدمFirewall •باز درهاي •و... ها پذيري آسيب از اي نمونه
- 77. M.ArjamfekrM.Arjamfekr چيست؟ مخاطره •يك كه است اي بالقوه عاملتهديداز ،معينها پذيري آسيببهره اي گونه به از گروهي يا يك به خسارت بروز يا رفتن دست از باعث كه نمايد جويي سازمان به مستقيم غير يا مستقيم صورت به طريق اين از و شده ها دارايي رساند آسيب. •بهره خاص پذيري آسيب يك از بخواهد خاص امنيتي تهديد يك اينكه احتمال كند جويي. •امنيتي حادثه يك وقوع احتمال.
- 78. M.ArjamfekrM.Arjamfekr مخاطره اجزاء داراييA تهديدT پذيري آسيبV موجود هاي كنترلC احتمالL اثر شدتI مخاطره=(A,T,V,C,L,I) دارد شناسايي به نياز. مخاطرات برآورد
- 79. M.ArjamfekrM.Arjamfekr موجود پذيري آسيب از تهديد برداري بهره احتمال ،ريسك ارزيابي متدولوژي به توجه باگرفته نظر در بايد ذيل موارد احتمال محاسبه در شود: شرايطسازمان فعلي سازمان سوابق احتمال
- 80. M.ArjamfekrM.Arjamfekr تهديد احتمال تعريف •اغلب٤يا٥باشد مي كافي سطح. •كرد استفاده سطوح جاي به اعداد از توان مي. •مانند:٥٤٣٢١ احتمال تعداددفعات ١ سال در بار دو از كمتر ٢ بين٣تا٥سال در بار ٣ از بيشتر٥سال در بار تهديد احتمال از ايي نمونه
- 81. M.ArjamfekrM.Arjamfekr مخاطرات ارزيابي و تحليل گام٥ آسيب از گزارشي و وكار كسب هاي آنها احتمال ٤-٤-اطﻼعات امنيت مديريت سيستم ايجاد:
- 82. M.ArjamfekrM.Arjamfekr دارد سازمان توسط برگزيده مخاطرات ارزيابي رويكرد به بستگي. نحوه از هايي نمونهريسك محاسبه)خطر(: ارزشنهايي*احتمال محرمانگي*احتمال يكپارچگي*احتمال پذيري دسترس*احتمال مخاطرات نهايي برآورد)ريسك محاسبه(
- 83. M.ArjamfekrM.Arjamfekr هاي گزينه ارزيابي و شناسايي مخاطرات سازي برطرف گام٦ سازي برطرف طرح مخاطرات ٤-٤-اطﻼعات امنيت مديريت سيستم ايجاد:
- 84. M.ArjamfekrM.Arjamfekr كار و كسب زمينه در مخاطرات مناسب سازي برطرف و مديريت بكارگرفتنمناسب هاي كنترل)Apply( پذيرشمخاطرات)Accept( اجتناب)حذف(مخاطرات از)Avoid( انتقالمخاطرات)Transfer( مخاطرات سازي برطرف براي هايي گزينه ارزيابي و شناسايي
- 85. M.ArjamfekrM.Arjamfekr برطرف فرآيند مخاطرات سازي ها كنترل گزينش مخاطرات سازي برطرف باقيمانده مخاطرات مخاطرات سازي برطرف
- 86. M.ArjamfekrM.Arjamfekr مخاطرات سازي برطرف طرح از ايي نمونه داراييتهديد هاي كنترل موجود هاي كنترل پيشنهادي عمليات مسئول اجرا شروع زمان مهلت انجام منابع ماليانسانيتجهيزت
- 87. M.ArjamfekrM.Arjamfekr اهداف و ها كنترل انتخاب كنترلي گام٧ اهداف از ليستي ها كنترل و كنترلي ٤-٤-اطﻼعات امنيت مديريت سيستم ايجاد:
- 88. M.ArjamfekrM.Arjamfekr كنترلي اهداف و ها كنترل سازي پياده و انتخاب فرآيند و مخاطرات ارزيابي در شده شناسايي الزامات كردن برآورده جهت سازي برطرفمخاطرات گرفتن نظر در: مخاطرات پذيرش براي معياري اي نامه آيين و قانوني ،قراردادي الزامات از برگزيده كنترلي اهداف و ها كنترلپيوستA كنترلي اهداف و ها كنترل برگزيدن
- 89. M.ArjamfekrM.Arjamfekr پيوستAكنترلي اهداف و ها كنترل A-5خطمشياطﻼعات امنيت هاي A-6-سازماناطﻼعات امنيت A-7-انساني منابع امنيت A-8دارايي مديريت A-9دسترسي كنترل A-10رمزنگاري A-11محيطي و فيزيكي امنيت A-12عمليات امنيت A-13امنيت ارتباطات A-14اكتسابو توسعه ، سيستم نگهداري A-15تأمين با ارتباط كنندگان A-16حوادث مديريت اطﻼعات امنيت A-17جنبهاطﻼعات امنيت هاي كار و كسب تداوم مديريت A-18انطباق محرمانگي C پذيري دسترسي A يكپارچگي I
- 90. M.ArjamfekrM.Arjamfekr افزوده كنترلي اهداف و ها كنترل •ضروري اضافي كنترلي اهداف و ها كنترل كه بگيرد نظر در است ممكن سازمان هستند. باشند نمي مناسب موقعيتي هر براي ها كنترل تمامي. •محل محيطي يا فني موانع و ها محدوديت گرفتن نظر در •سازمان در اي بالقوه كار هر براي مناسبي قالب در امنيتي هاي كنترل انتخاب
- 91. M.ArjamfekrM.Arjamfekr شود گرفته نظر در است ﻻزم ذيل پارامترهاي: ها كنترل از استفاده در آسودگي كاربر براي شفافيت آنها هاي فعاليت انجام در كاربران براي كمك آوري فراهم ها كنترل مناسب شدت امنيتي هاي كنترل انتخاب
- 92. M.ArjamfekrM.Arjamfekr براي مديريت مجوز كسب مانده باقي مخاطرات شده پيشنهاد گام٨ مخاطرات سوابق تاييد مانده باقي شده ٤-٤-اطﻼعات امنيت مديريت سيستم ايجاد:
- 93. M.ArjamfekrM.Arjamfekr ها كنترل توسط مخاطرات كاهش ميزان ارزيابي بيشتر هاي كنترل سازي پياده مجبور امكانبه شدن: •پذيرش •اجتناب •انتقال كسبمديريت مصوبهشده پيشنهاد مانده باقي مخاطرات براي مانده باقي مخاطرات
- 94. M.ArjamfekrM.Arjamfekr مستندسازي الزامISO 27001 شده شناسايي مخاطرات با مرتبط اقدامات شناسايي شود مشخص زير موارد مخاطره هر براي: مخاطره هر هاي كنترل شده انتخاب اضافي هاي كنترل نياز مورد منبع)لحاظ نيز بودجه تأمينگردد( ها مسئوليت و ها نقش سازي پياده زمانبندي)اولويت حسب بر/حساسيت( مخاطرات ارزيابي گزارش به اتصال سند پويايي)تغيير كنترل/ويرايش( مخاطرات سازي برطرف طرح
- 95. M.ArjamfekrM.Arjamfekr براي مديريت مجوز كسب سازي پيادهISMS گام٩ مديريت مجوز سازي پياده براي ISMS ٤-٤-اطﻼعات امنيت مديريت سيستم ايجاد:
- 96. M.ArjamfekrM.Arjamfekr كسبمديريت مجوزاجراي و سازي پياده برايISMS مديريت مجوز
- 97. M.ArjamfekrM.Arjamfekr پذيري كاربست بيانيه تهيه گام١٠ كاربست بيانيه پذيري ٤-٤-اطﻼعات امنيت مديريت سيستم ايجاد:
- 98. M.ArjamfekrM.Arjamfekr تعريف:بيانيهمستنددر كاربرد قابل و مرتبط هاي كنترل و كنترلي اهداف كه اي شده سيستماطﻼعات امنيت مديريتكند مي تشريح را سازمان. باشد مي ذيل موارد شامل پذيري كاربست بيانيه يك: .1آنها انتخاب دﻻيل و برگزيده هاي كنترل و كنترلي اهداف. .2اند شده سازي پياده حاضر حال در كه هايي كنترل و كنترلي اهداف. .3كنارگذاري توجيه و الف پيوست هاي كنترل و كنترلي اهداف از يك هر كنارگذاري آنها. S.O.A مخاطرات سازي برطرف سازي پياده هاي كنترل حاضر حال در شده پذيري كاربست بيانيه(Statement Of Applicability)
- 99. M.ArjamfekrM.Arjamfekr پذيري كاربست بيانيه از ايي نمونه كنترلهايISO 27001:2005 كاربرد قابل )Y/N( بكارگيري توجيه/كنارگذاريها كنترلمراجع هدفبندهدفكنترلي/كنترل مديريتو ارتباطات عمليات الف-١٠-٨اطﻼعات تبادل الف-١٠-٨-١ خطمشيروش و هاهاي اجرايياطﻼعات تبادلYخطمشياطﻼعات تبادلگرديده تدويناست. الف-١٠-٨-٢نامه توافقهايتبادلYNDAويژهو پرسنلگرديده تهيه پيمانكاراناست. الف-١٠-٨-٣ سازي ذخيره هاي محيط حين ،فيزيكينقل و حملY كليهتوسط محرمانه اسنادپرسـنليكـهNDAاسـناد و كـرده امضـاءغيـر توسط محرمانهپيكارسال سازمان از خارج بهميشود. الف-١٠-٨-٤الكترونيكي رساني پيامY .1دسترسيبهEmailشخصـي هايماننـدYahooوGmailامكانپـذير نميباشد. .2از استفاده به مجاز تنها پرسنلمي سازماني ايميلباشند. الف-١٠-٨-٥ اطﻼعاتي هاي سيستمو كسب كارY دسترسيبه پرسنلاطﻼعـاتي هاي سيستمخـط طبـق كـار و كسـبمشـي كنترلدسترسيكنترل قابلميباشد. الف-١٠-٩تجارت خدماتالكترونيك الف-١٠-٩-١تجارتالكترونيكNشركت در،تجارت خدماتالكترونيكانجامنميشود. الف-١٠-٩-٢ ستد دادوهايخط بر)و متصل مستقيم(Nهيچو خط بر ستد و داد گونهOn-lineصورت شركت درگيرد نمي. الف-١٠-٩-٣عموم دسترس در اطﻼعاتY بودن بروز بر نظارتمحتوياتوبسايتواحد توسط ،شركتبازرگاني انجامميگردد.
- 100. M.ArjamfekrM.Arjamfekr ٥-رهبري: ٥-١تعهد و هدايت: اطﻼعات امنيت مديريت سيستم اجراي به نسبت ارشد مديريت بودن متعهد اهداف تعيين از اطمينان حصول الزامات يكپارچگي از اطمينان حصول منابع بودن دسترس در از اطمينان حصول شده تعيين پيش از هاي خروجي به دستيابي از اطمينان حصول مديريتي هاي نقش از پشتيباني
- 101. M.ArjamfekrM.Arjamfekr ٥-٢مشي خط: سازمان ارشد مديريت توسط مشي خط گذاري پايه •سازمان مقاصد با همراستا و هماهنگ •باشد اطﻼعات امنيت اهداف شامل •اهداف ايجاد براي چارچوبي •الزامات تامين به متعهد
- 102. M.ArjamfekrM.Arjamfekr ٥-٣سازمان اختيارات و ها مسئوليت ، ها نقش: ارشد مديريت توسط ها مسئوليت تعيين •اطﻼعات امنيت مديريت سيستم انطباق از اطمينان •سيستم اين عملكرد از مناسب هاي گزارش تهيه ٦-ريزي طرح: ٦-١ها فرصت و مخاطرات شناسايي براي اقداماتي: ٦-١-١كليات سازمان ، اطﻼعات امنيت مديريت سيستم ريزي طرح هنگام در نمايد تعيين را ها فرصت و مخاطرات و كرده رعايت را الزامات بايد.
- 103. M.ArjamfekrM.Arjamfekr ٦-١-٢اطﻼعات امنيت مخاطرات ارزيابي •كند تعريف را اطﻼعات امنيت مخاطرات ارزيابي فرايند بايد سازمان. •اطﻼعات امنيت مخاطرات براي معيارهايي ايجاد •مخاطرات سطوح تعيين ٦-١-٣اطﻼعات امنيت در مخاطرات با مقابله هاي روش امنيت مخاطرات با مواجهه براي مشخصي فرآيند و شيوه بايد سازمان كند اجرايي و تعريف اطﻼعات
- 104. M.ArjamfekrM.Arjamfekr ٦-٢آنها به دستيابي براي هايي طرح و اطﻼعات امنيت اهداف: •باشند اطﻼعات امنيت كلي مشي خط مبناي بر. •باشد گيري اندازه قابل •كند محاسبه را اطﻼعات امنيت كاربردي الزامات •شود رساني اطﻼع •شود روز به مداوم طور به
- 105. M.ArjamfekrM.Arjamfekr ٧-پشتيباني: ٧-١منابع: امنيت مديريت سيستم استقرار،اجراي براي نياز مورد منابع بيني پيش سازمان توسط اطﻼعات ٧-٢صﻼحيت: •افراد براي ﻻزم هاي صﻼحيت كردن مشخص •افراد صﻼحيت از اطمينان •مستند اطﻼعات نگهداري
- 106. M.ArjamfekrM.Arjamfekr ٧-٣آگاهي: زير موارد از افراد آگاهي: اطﻼعات امنيت سياست اطﻼعات امنيت سيستم اثربخشي ميزان در آنها مشاركت تاثير اطﻼعات امنيت مديريت سيستم الزامات با تطابق عدم از ناشي نتايج ٧-٤ارتباطات: توسط بيروني و دروني ارتباطات به مربوط هاي چارچوب كردن مشخص سازمان
- 107. M.ArjamfekrM.Arjamfekr ٧-٥مستند اطﻼعات: ٧-٥-١كليات شامل اطﻼعات امنيت مديريت سيستم •نياز مورد مستند اطﻼعات •تشخيص ضروري سيستم بخشي اثر براي سازمان توسط كه مستندي اطﻼعات شود مي داده ٧-٥-٢رساني روز به و ايجاد اطمينان مواردي از بايد سازمان ، مستند اطﻼعات رساني روز به و ايجاد هنگام كند حاصل: اطﻼعات بودن كامل و مشخص رسانه نوع و افزار نرم نسخه مانند هايي شاخص نظر از اطﻼعات هاي ويژگي اطﻼعات بودن دقيق و مناسب تاييد و بازنگري
- 108. M.ArjamfekrM.Arjamfekr ٧-٥-٣شده مدون اطﻼعات كنترل شوند مي كنترل زير موارد از اطمينان حصول منظور به مستند اطﻼعات: مناسب مكان و زمان در بودن دسترس در محرمانگي رفتن بين از برابر در محافظت اطﻼعات بازيابي و دسترسي ، توزيع اطﻼعات حفاظت و سازي ذخيره تغييرات كنترل اطﻼعات انتقال و نگهداري
- 109. M.ArjamfekrM.Arjamfekr ٨-عملكرد: ٨-١عملكرد كنترل و طراحي: •امنيت الزامات به رسيدن براي هايي فرآيند ايجاد و طراحي •مستند اطﻼعات نگهداري •ناخواسته تغييرات بازنگري و شده ريزي طرح تغييرات كنترل ٨-٢اطﻼعات امنيت مخاطرات ارزيابي: از زماني فواصل در را اطﻼعات امنيت ريسك ارزيابي بايد سازمان درآورد اجرا به شده ريزي برنامه پيش. ٨-٣اطﻼعات امنيت ريسك كنترل: اطﻼعات امنيت مخاطرات كنترل براي مشخصي طرح بايد سازمان كند ارزيابي را كنترل نتايج و كرده تهيه.
- 110. M.ArjamfekrM.Arjamfekr ريسك مديريت و برآورد هش كا پذيرش اجتنابانتقال پيامد احتمال
- 112. M.ArjamfekrM.Arjamfekr ٩-٢مميزيداخلي: ٠مسئوليت و ها دوره شامل كه كند اجرا و طراحي را مميزي ريزي برنامه يك است ها ٠كند تعريف مميزي هر براي را محدوده و ضوابط ٠كند حاصل اطمينان مميزها انتخاب از ٠مميزي از حاصل نتايج كه كند حاصل اطمينانگزارش مربوطه مديران به است شده ٠كند نگهداري و ثبت مميزي انجام مدارك عنوان به را مستندي اطﻼعات.
- 113. M.ArjamfekrM.Arjamfekr شده ريزي طرح مميزي برنامه: مميزي مورد هاي حيطه و فرآيندها اهميت و وضعيت به توجه قبلي هاي مميزي نتايج مميزي روش و تواتر ،دامنه ،معيارها تعريف مميزان انتخاب سيستم آيا اينكه تعيين: دارد انطباق اطﻼعات امنيت شده شناسايي الزامات ،قوانين ،استاندارد الزامات با. شود مي نگهداري و شده سازي پياده اثربخش طرز به. شود مي اجرا رود مي انتظار كه آنگونه.
- 114. M.ArjamfekrM.Arjamfekr ٩-٣مديريت بازنگري: اطﻼعات امنيت مديريت سيستم مناسب زماني فواصل در بايد ارشد مديريت دهد قرار بازنگري مورد كارايي ازز اطمينان منظور به را. ٠بارگيري زمان از فعاليت وضعيت ٠امنيت مديريت سيستم با كه بيروني و داخلي روندهاي در تغييرات هستند مربوط اطﻼعات ٠اطﻼعات امنيت كارايي مورد در بازخورد ٠ذينفع عوامل سوي از بازخورد ٠ريسك ارزيابي نتايج ٠مستمر بهبود هاي فرصت
- 115. M.ArjamfekrM.Arjamfekr ١٠-بهبود: ١٠-١اصﻼحي اقدامات و انطباق عدم: بايد سازمان انطباق عدم بروز هنگام در: •دهد نشان واكنش انطباق عدم به اجرا قابل هاي شيوه با •از جلوگيري منظور به را انطباق عدم علل بردن بين از براي ﻻزم اقدامات كند بيني پيش و ارزيابي آن وقوع •كند مشخص را ﻻزم اقدام گونه هر •كند بررسي را شده انجام اصﻼحي اقدامات بخشي اثر •وجود به اطﻼعات امنيت مديريت سيستم در تغييراتي ، نياز صورت در آورد •آنها بروز از پس شده انجام اقدام هرگونه و انطباق عدم ماهيت •شده انجام اصﻼحي اقدامات از كدام هر نتايج
- 116. M.ArjamfekrM.Arjamfekr ١٠-٢مستمر بهبود: امنيت مديريت سيستم اثربخشي و دقت ،كارايي مستمر طور به بايد سازمان بخشد بهبود را اطﻼعات. بكارگيري طريق از: اطﻼعات امنيت مشي خط امنيتي اهداف ها مميزي نتايج شده پايش رويدادهاي تحليل و تجزيه پيشگيرانه و اصﻼحي اقدامات مديريت بازنگري
- 117. M.ArjamfekrM.Arjamfekr كنترلي اهداف و ها كنترل تشريح ISO/IEC 27001:2013
- 118. M.ArjamfekrM.Arjamfekr مديريتي هاي دامنه A-5خطمشياطﻼعات امنيت هاي A-6-سازماناطﻼعات امنيت A-7-انساني منابع امنيت A-8دارايي مديريت A-9دسترسي كنترل A-10رمزنگاري A-11محيطي و فيزيكي امنيت A-12عمليات امنيت A-13امنيت ارتباطات A-14اكتسابو توسعه ، سيستم نگهداري A-15تأمين با ارتباط كنندگان A-16حوادث مديريت اطﻼعات امنيت A-17جنبهاطﻼعات امنيت هاي كار و كسب تداوم مديريت A-18انطباق محرمانگي C پذيري دسترسي A يكپارچگي I
- 120. M.ArjamfekrM.Arjamfekr الف-٦-١-داخلي سازماندهي ٦-١-١-اطﻼعات امنيت ي ها مسئوليت و ها نقش مربوطه افراد توسط امنيت حوزه هاي مسئوليت تمامي كنترل ٦-١-٢-وظايف تفكيك عمدي غير خطاهاي و مجاز غير تغييرات كاهش جهت ها مسئوليت در تفكيك با كنترل ٦-١-٣-مسئوﻻن با ارتباط سازمان مسئوﻻن با مناسب ارتباطات كنترل ٦-١-٤-ذينفع هاي گروه با ارتباط امنيت حوزه در متخصصان ساير و ذينفع هاي گروه با مناسب ارتباطات الف-٦-اطﻼعات امنيت سازماندهي:
- 122. M.ArjamfekrM.Arjamfekr الف-٧-١-استخدام از پيش ٧-١-١-گزينش كار و كسب الزامات با متناسب و اخﻼقي اصول و قوانين با مطابق داطلبان سوابق ٧-١-٢-استخدام شرايط و ضوابط كاركنان با همكاري قرارداد در ها مسئوليت بودن مشخص ب-٧-٢-همكاري و استخدام حين در ٧-٢-١-مديريتي هاي مسئوليت ها سياست با مطابق اطﻼعات امنيت اصول كردن اجرا به كاركنان كردن موظف ٧-٢-٢-اطﻼعات امنيت زمينه در ها تجربه و دانش انتقال ،آموزش جديد هاي فرآيند و ها سياست به نسبت آگاهي و ﻻزم هاي تجربه از كاركنان برخورداري الف-٧-انساني منابع امنيت:
- 123. M.ArjamfekrM.Arjamfekr ٧-٢-٧-انظباتي روند -مشخص انظباتي فرآيند از سازمان برخورداري الف-٧-٣-همكاري روند تغيير يا خاتمه ٧-٣-١-كاركنان هاي مسئوليت تغيير يا خاتمه -برجاست پا وظايف كاركنان با همكاري نوع در تغيير صورت در
- 124. M.ArjamfekrM.Arjamfekr الف-٨-سرمايه مديريت: الف-٨-١-ها دارايي قبال در مسئوليت ٨-١-١-ها دارايي صورت هستند اطﻼعات پردازش هاي ابزار و اطﻼعات شامل كه هايي دارايي شناسايي ٨-١-٢-ها دارايي مالكيت باشد سازمان تملك در بايد اموال فهرست در موجود هاي دارايي. ٨-١-٣-ها دارايي مناسب كاربرد هستند مرتبط پردازش ي ابزارها با و اطﻼعات كاربرد مورد در كه قوانيني شدن مستند ٨-١-٤-دارايي بازگشت برگردانند را سازمان هاي دارايي همكاري اتمام از بعد موطفند كارمنان
- 125. M.ArjamfekrM.Arjamfekr الف-٨-٢-طبقهبندياطﻼعات ٨-٢-١-اطﻼعات بندي طبقه ارزش و قانوني الزامات اساس بر اطﻼعات بندي طبقه ٨-٢-٢-اطﻼعات كدگذاري اطﻼعات كدگذاري براي اطﻼعات بندي طبقه برنامه اساس بر مشخصي رويه اجراي و ايجاد ٨-٢-٣-ها دارايي و اموال اداره ها دارايي مديريت براي هايي دستورالعمل اجراي و تهيه
- 126. M.ArjamfekrM.Arjamfekr الف-٨-٣-اطﻼعات انتشار ابزارهاي مديريت: ٨-٣-١-اطﻼعات انتقال سيار ابزارهاي مديريت -بندي طبقه طرح با مطابق اطﻼعات انتقال سيار ابزارهاي مديريت براي هايي رويه تعيين سازمان اطﻼعات ٨-٣-٢-اطﻼعات انتقال ابزارهاي امحاي -نيست آنها به نيازي كه زماني شده ذخيره اطﻼعات كردن خارج دسترس از ٨-٣-٣-اطﻼعات انتقال ابزارهاي فيزيكي انتقال و نقل -مجاز غير هاي دسترسي برابر در اطﻼعات انتقال ابزارهاي محافظت
- 127. M.ArjamfekrM.Arjamfekr الف-٩-دسترسي كنترل: الف-٩-١-دسترسي كنترل در كار و كسب الزامات ٩-١-١دسترسي كنترل سياست امنيتي الزامات اساس بر دسترسي كنترل سياست يك ايجاد ٩-١-٢-شبكه خدمات و شبكه به دسترسي هستند دارا را آنها از استفاده اجازه كه باشند اي شبكه دسترسي به مجاز تنها بايد كاربران الف-٩-٢-كاربر دسترسي مديريت ٩-٢-١-كاربران حذف و ثبت دسترسي حذف و ثبت براي مشخص فرآيند يك ايجاد ٩-٢-٢-كاربر به دسترسي تامين باشد كاربران همه به تعميم قابل كه كاربران دسترسي تامين فرآيند ايجاد.