سیستم مدیریت امنیت اطلاعات Information Security Management System

1. 1
‫محمدی‬ ‫جواد‬(‫آرمان‬)-‫کامپیوتری‬ ‫های‬ ‫شبکه‬ ‫مهندسی‬...
mohammadi_jma@yahoo.com

2. ‫کننده‬ ‫ارائه‬:‫محمدی‬ ‫جواد‬
‫کامپیوتری‬ ‫های‬ ‫شبکه‬ ‫مهندسی‬
2

3. ISMS
‫مخفف‬‫عبارت‬Information Security Management System‫به‬‫معنای‬‫سیستم‬
‫مدیریت‬‫امنیت‬‫اطالعات‬‫می‬‫باشد‬‫و‬‫استانداردهایی‬‫را‬‫برای‬‫ایمن‬‫سازی‬‫فضای‬‫تبادل‬‫اطالعات‬‫در‬
‫سازمان‬‫ها‬‫ارائه‬‫می‬‫دهد‬.‫این‬‫استانداردها‬‫شامل‬‫مجموعه‬‫ای‬‫از‬‫دستورالعمل‬‫هاست‬‫تا‬‫فضای‬‫تبادل‬
‫اطالعات‬‫یک‬‫سازمان‬‫را‬‫با‬‫اجرای‬‫یک‬‫طرح‬‫مخصوص‬‫به‬‫آن‬‫سازمان‬‫ایمن‬‫نماید‬.
3
‫محمدی‬ ‫جواد‬(‫آرمان‬)-‫کامپیوتری‬ ‫های‬ ‫شبکه‬ ‫مهندسی‬...
mohammadi_jma@yahoo.com

4. ‫اطالعات‬ ‫تبادل‬ ‫فضای‬ ‫سازی‬ ‫ایمن‬ ‫جهت‬ ‫الزم‬ ‫اقدامات‬
۱-‫سازمان‬ ‫نیاز‬ ‫مورد‬ ‫امنیتی‬ ‫های‬‫برنامه‬ ‫و‬ ‫ها‬‫طرح‬ ‫تهیه‬
۲-‫سازمان‬ ‫اطالعات‬ ‫تبادل‬ ‫فضای‬ ‫امنیت‬ ‫تداوم‬ ‫و‬ ‫ایجاد‬ ‫جهت‬ ‫نیاز‬ ‫مورد‬ ‫تشکیالت‬ ‫ایجاد‬
۳-‫سازمان‬ ‫امنیتی‬ ‫های‬‫برنامه‬ ‫و‬ ‫ها‬‫طرح‬ ‫اجرای‬
4
‫محمدی‬ ‫جواد‬(‫آرمان‬)-‫کامپیوتری‬ ‫های‬ ‫شبکه‬ ‫مهندسی‬...
mohammadi_jma@yahoo.com

5. ‫مدیریتی‬ ‫استانداردهای‬‫امنیت‬ ‫در‬‫ها‬‫سازمان‬ ‫ارتباطات‬ ‫و‬ ‫اطالعات‬
‫استاندارد‬‫مدیریتی‬BS7799‫شامل‬ ‫که‬ ‫انگلیس‬ ‫استاندارد‬ ‫موسسه‬۲‫است‬ ‫بخش‬:
.1BS7799‫که‬ISO/IEC 27002‫نامیده‬‫شود‬ ‫می‬
.2BS7799‫که‬‫سال‬ ‫در‬۲۰۰۵‫استاندارد‬ ‫به‬ISO/IEC 27001:2005‫تبدیل‬‫شد‬
.3ISO/IEC TR 13335
5
‫محمدی‬ ‫جواد‬(‫آرمان‬)-‫کامپیوتری‬ ‫های‬ ‫شبکه‬ ‫مهندسی‬...
mohammadi_jma@yahoo.com

6. ISO/IEC 27002
1-‫سازمان‬ ‫امنیتی‬ ‫سیاست‬ ‫تدوین‬
2-‫سازمان‬ ‫امنیت‬ ‫تامین‬ ‫تشکیالت‬ ‫ایجاد‬
3-‫الزم‬ ‫های‬‫کنترل‬ ‫تعیین‬ ‫و‬ ‫ها‬‫سرمایه‬ ‫بندی‬‫دسته‬
4-‫پرسنلی‬ ‫امنیت‬
5-‫پیرامونی‬ ‫و‬ ‫فیزیکی‬ ‫امنیت‬
6-‫ارتباطات‬ ‫مدیریت‬
7-‫دسترسی‬ ‫کنترل‬
8-‫ها‬‫سیستم‬ ‫توسعه‬ ‫و‬ ‫نگهداری‬
9-‫سازمان‬ ‫فعالیت‬ ‫تداوم‬ ‫مدیریت‬
10-‫نیازهای‬ ‫به‬ ‫پاسخگوئی‬‫امنیتی‬
6
‫محمدی‬ ‫جواد‬(‫آرمان‬)-‫کامپیوتری‬ ‫های‬ ‫شبکه‬ ‫مهندسی‬...
mohammadi_jma@yahoo.com

7. ISO/IEC 27001
‫شامل‬۴‫مرحله‬‫است‬(‫دمینگ‬ ‫چرخه‬ ‫اساس‬ ‫بر‬: )
PDCA‫معنی‬ ‫به‬
Plan(‫طراحی‬ ‫و‬ ‫تاسیس‬ ‫مرحله‬)
Do(‫کردن‬ ‫عملی‬ ‫و‬ ‫سازی‬ ‫پیاده‬ ‫مرحله‬)
Check(‫مرور‬ ‫و‬ ‫نظارت‬ ‫مرحله‬)
Act(‫و‬ ‫بخشیدن‬ ‫بهبود‬ ‫مرحله‬‫اصالح‬)
7
‫محمدی‬ ‫جواد‬(‫آرمان‬)-‫کامپیوتری‬ ‫های‬ ‫شبکه‬ ‫مهندسی‬...
mohammadi_jma@yahoo.com

8. ‫دمینگ‬ ‫چرخه‬
‫در‬‫معیارها‬‫و‬‫ضوابط‬‫گواهینامۀ‬ISMS(Ver. 2.0)،‫یک‬‫چرخۀ‬‫دمینگ‬(،‫برنامه‬
،‫اجرا‬،‫کنترل‬‫عمل‬)‫برای‬‫پروسه‬‫های‬‫مرتبط‬‫با‬‫مقولۀ‬‫امنیت‬‫اطالعات‬‫به‬‫کار‬‫گ‬‫رفته‬
‫می‬‫شود‬.‫و‬‫نکتۀ‬‫اصلی‬‫معیارهای‬‫گواهی‬ISMS،‫ارتقای‬‫ادامه‬‫دار‬‫پروسه‬‫های‬
‫مرتبط‬‫با‬‫امنیت‬‫اطالعات‬‫می‬‫باشد‬.
8
‫محمدی‬ ‫جواد‬(‫آرمان‬)-‫کامپیوتری‬ ‫های‬ ‫شبکه‬ ‫مهندسی‬...
mohammadi_jma@yahoo.com

9. ‫برنامه‬
(‫برقراری‬ISMS)
‫تعریف‬‫کردن‬‫یک‬‫سیاستنامۀ‬،‫امنیتی‬،‫اهداف‬‫پروسه‬‫ها‬‫و‬‫توابعی‬‫که‬‫مربوط‬‫به‬‫مدی‬‫ریت‬
‫ریسک‬‫و‬‫ارتقای‬‫امنیت‬‫اطالعات‬‫می‬‫باشند‬‫تا‬‫نتایجی‬‫هم‬‫راستا‬‫با‬‫اهداف‬‫و‬‫سیاسته‬‫ای‬‫کلی‬
‫شرکت‬‫بدست‬‫آید‬.
‫اجرا‬
(‫اجرای‬ ‫و‬ ‫سازی‬ ‫پیاده‬ISMS)
‫پیاده‬‫سازی‬‫و‬‫اجرای‬‫سیاستنامۀ‬‫امنیت‬،‫اطالعات‬،‫کنترلها‬‫پروسه‬‫ها‬‫و‬‫طرق‬‫عمل‬.
‫کنترل‬
(‫بررسی‬ ‫و‬ ‫کردن‬ ‫مانیتور‬ISMS)
‫ارزیابی‬‫کارائی‬،‫پروسه‬‫تجارب‬،‫کاربردی‬‫اندازه‬‫گیری‬‫آنها‬‫در‬‫صورت‬‫امکان‬‫و‬‫گزار‬‫ش‬
‫نتایج‬‫به‬،‫مدیر‬‫برای‬‫بررسی‬.
‫عمل‬
(‫ارتقای‬ ‫و‬ ‫حفظ‬ISMS)
‫عمال‬‫ا‬‫مواد‬‫اصالحی‬‫و‬،‫حفاظتی‬‫بر‬‫مبنای‬‫بررسی‬‫های‬‫مدیر‬‫برای‬‫دستیابی‬‫به‬‫ارتق‬‫ای‬‫دنباله‬
‫دار‬ISMS.
‫محمدی‬ ‫جواد‬(‫آرمان‬)-‫کامپیوتری‬ ‫های‬ ‫شبکه‬ ‫مهندسی‬...
mohammadi_jma@yahoo.com
9

10. 10
‫محمدی‬ ‫جواد‬(‫آرمان‬)-‫کامپیوتری‬ ‫های‬ ‫شبکه‬ ‫مهندسی‬...
mohammadi_jma@yahoo.com

11. ‫فنی‬ ‫گزارش‬ISO/IEC TR 13335
‫گزارش‬‫فنی‬ISO/IEC TR 13335‫موسسه‬‫المللی‬‫بین‬‫استاندارد‬‫که‬‫این‬‫گزارش‬‫فنی‬‫در‬‫قالب‬۵
‫بخش‬‫مستقل‬‫در‬‫فواصل‬‫سالهای‬۱۹۹۶‫تا‬۲۰۰۱‫توسط‬‫موسسه‬‫بین‬‫المللی‬‫استاندارد‬‫منتشر‬‫شده‬
‫است‬.‫اگر‬‫چه‬‫این‬‫گزارش‬‫فنی‬‫به‬‫عنوان‬‫استاندارد‬ISO‫منتشر‬‫نشد‬‫و‬‫عنوان‬Technical
Report‫بر‬‫آن‬‫نهاده‬،‫شد‬‫لیکن‬‫تنها‬‫مستندات‬‫فنی‬‫معتبری‬‫است‬‫که‬‫جزئیات‬‫و‬‫تکنیک‬‫ها‬‫ی‬‫مورد‬
‫نیاز‬‫مراحل‬‫ایمن‬‫سازی‬‫اطالعات‬‫و‬‫ارتباطات‬‫را‬‫تشریح‬‫نموده‬‫و‬‫در‬‫واقع‬‫مکمل‬‫استانداردهای‬
‫مدیریتی‬BS7799‫و‬ISO/IEC 17799‫می‬‫باشد‬.
11
‫محمدی‬ ‫جواد‬(‫آرمان‬)-‫کامپیوتری‬ ‫های‬ ‫شبکه‬ ‫مهندسی‬...
mohammadi_jma@yahoo.com

12. ‫مراحل‬ISO/IEC 17799
۱)‫سازمان‬ ‫اطالعات‬ ‫تبادل‬ ‫فضای‬ ‫امنیتی‬ ‫های‬‫سیاست‬ ‫و‬ ‫راهبردها‬ ،‫اهداف‬ ‫تعیین‬
۲)‫سازمان‬ ‫اطالعات‬ ‫تبادل‬ ‫فضای‬ ‫امنیتی‬ ‫مخاطرات‬ ‫تحلیل‬
۳)‫امنیت‬ ‫طرح‬ ‫ارائه‬ ‫و‬ ‫ها‬ ‫حفاظ‬ ‫انتخاب‬
۴)‫امنیت‬ ‫طرح‬ ‫سازی‬‫پیاده‬
۵)‫سازمان‬ ‫اطالعات‬ ‫تبادل‬ ‫فضای‬ ‫امنیت‬ ‫پشتیبانی‬
12
‫محمدی‬ ‫جواد‬(‫آرمان‬)-‫کامپیوتری‬ ‫های‬ ‫شبکه‬ ‫مهندسی‬...
mohammadi_jma@yahoo.com

13. ‫مستندات‬ISMS
‫دستگاه‬ ‫اطالعات‬ ‫تبادل‬ ‫فضای‬ ‫امنیتی‬ ‫سیاستهای‬ ‫و‬ ‫راهبردها‬ ،‫اهداف‬
‫دستگاه‬ ‫اطالعات‬ ‫تبادل‬ ‫فضای‬ ‫امنیتی‬ ‫مخاطرات‬ ‫تحلیل‬ ‫طرح‬
‫دستگاه‬ ‫اطالعات‬ ‫تبادل‬ ‫فضای‬ ‫امنیت‬ ‫طرح‬
‫دستگاه‬ ‫اطالعات‬ ‫تبادل‬ ‫فضای‬ ‫خرابیهای‬ ‫ترمیم‬ ‫و‬ ‫امنیتی‬ ‫حوادث‬ ‫با‬ ‫مقابله‬ ‫طرح‬
‫دستگاه‬ ‫پرسنل‬ ‫به‬ ‫امنیتی‬ ‫رسانی‬ ‫آگاهی‬ ‫برنامة‬
‫دستگاه‬ ‫اطالعات‬ ‫تبادل‬ ‫فضای‬ ‫امنیت‬ ‫تامین‬ ‫تشکیالت‬ ‫پرسنل‬ ‫امنیتی‬ ‫آموزش‬ ‫برنامة‬
‫امنیت‬ ‫تشکیالت‬ ‫اجزاء‬
13
‫محمدی‬ ‫جواد‬(‫آرمان‬)-‫کامپیوتری‬ ‫های‬ ‫شبکه‬ ‫مهندسی‬...
mohammadi_jma@yahoo.com

14. ‫تشکیالت‬ ‫اجزای‬‫شبکه‬ ‫امنیت‬
‫سیاستگذاری‬ ‫سطح‬ ‫در‬:‫دستگ‬ ‫اطالعات‬ ‫تبادل‬ ‫فضای‬ ‫امنیت‬ ‫راهبری‬ ‫کمیته‬‫اه‬
‫اجرائی‬ ‫مدیریت‬ ‫سطح‬ ‫در‬:‫دستگاه‬ ‫اطالعات‬ ‫تبادل‬ ‫فضای‬ ‫امنیت‬ ‫مدیر‬
‫فنی‬ ‫سطح‬ ‫در‬:‫دستگاه‬ ‫اطالعات‬ ‫تبادل‬ ‫فضای‬ ‫امنیت‬ ‫پشتیبانی‬ ‫واحد‬
14
‫محمدی‬ ‫جواد‬(‫آرمان‬)-‫کامپیوتری‬ ‫های‬ ‫شبکه‬ ‫مهندسی‬...
mohammadi_jma@yahoo.com

15. 15
‫محمدی‬ ‫جواد‬(‫آرمان‬)-‫کامپیوتری‬ ‫های‬ ‫شبکه‬ ‫مهندسی‬...
mohammadi_jma@yahoo.com

16. 16
‫پایان‬
‫محمدی‬ ‫جواد‬(‫آرمان‬)-‫کامپیوتری‬ ‫های‬ ‫شبکه‬ ‫مهندسی‬...
mohammadi_jma@yahoo.com

17. ‫شم‬ ‫توجه‬ ‫حسن‬ ‫از‬ ‫تشکر‬ ‫با‬‫ا‬
17
‫محمدی‬ ‫جواد‬(‫آرمان‬)-‫کامپیوتری‬ ‫های‬ ‫شبکه‬ ‫مهندسی‬...
mohammadi_jma@yahoo.com