تقدم وثيقة التوعية بمعيار ISO 27001 أساسيات أمن المعلومات وأهمية أنظمة إدارة أمن المعلومات (ISMS) في تعزيز استمرارية الأعمال وأمان أنظمة تكنولوجيا المعلومات. تشمل الورشة أهدافًا تعليمية لتعريف الحضور بمفاهيم مثل السرية والتكامل والتوافر، وتسليط الضوء على المخاطر المرتبطة بأمن المعلومات، بما في ذلك التهديدات الداخلية. كما تستعرض فوائد الشهادة ISO 27001 في تحسين موافقات الأعمال والامتثال للمتطلبات القانونية.

1. ISO 27001
Awareness Session
By
Saquib Farooq Malik,
S e n i o r I n f o r m a t i o n S e c u r i t y C o n s u l t a n t

2. ‫ايزو‬27001:2005
‫م‬.‫الحربي‬ ‫وائل‬
‫معلومات‬ ‫امن‬ ‫مستشار‬

3. Project Objectives
• Excellence in IT Operations
• Business Continuity
• Secure IT Systems
7/15/2014 3

4. ‫المشروع‬ ‫اهداف‬
•‫المعلومات‬ ‫تقنية‬ ‫تشغيل‬ ‫في‬ ‫التمييز‬
•‫العمل‬ ‫استمرارية‬
•‫المعلومات‬ ‫تقنية‬ ‫أنظمة‬ ‫تأمين‬
5/14/2014

5. Session objective
• Awareness regarding ISO 27001
• Differentiating between a process based security management system
and a list of security controls or remediation.

6. ‫المحاضرة‬ ‫من‬ ‫الهدف‬
•‫األيزو‬ ‫بخصوص‬ ‫التوعية‬27001
•‫التفريق‬‫وع‬ ‫األمنية‬ ‫الضوابط‬ ‫وقائمة‬ ‫المعلومات‬ ‫أمن‬ ‫إدارة‬ ‫نظام‬ ‫بين‬‫الجها‬
5/14/2014

7. What Is Information Security
• The quality or state of being secure to be free from
danger.
• Security is achieved using several strategies
simultaneously or used in combination with one another.
• Security is recognized as essential to protect vital
processes and the systems that provide those processes.
• Information security means protecting information
and information systems from unauthorized access,
use, disclosure, disruption, modification, or
destruction.
7/15/2014 7

8. ‫المعلومات‬ ‫امن‬ ‫هو‬ ‫ما‬
•‫المخاطر‬ ‫من‬ ‫خالية‬ ‫تكون‬ ‫أي‬ ‫امنه‬ ‫الحالة‬ ‫ان‬ ‫معنى‬
•‫تست‬ ‫او‬ ‫الوقت‬ ‫نفس‬ ‫في‬ ‫استراتيجيات‬ ‫عدة‬ ‫باستخدام‬ ‫يتحقق‬ ‫األمن‬‫في‬ ‫خدم‬
‫البعض‬ ‫بعضها‬ ‫مع‬ ‫مجموعة‬
•‫ال‬ ‫تلك‬ ‫توفر‬ ‫التي‬ ‫والنظم‬ ‫الحيوية‬ ‫العمليات‬ ‫لحماية‬ ‫اساسي‬ ‫امر‬ ‫األمن‬‫عمليات‬
•‫المعلومات‬ ‫امن‬‫الوصول‬ ‫من‬ ‫المعلومات‬ ‫ونظم‬ ‫المعلومات‬ ‫حماية‬ ‫تعني‬
‫التغيير‬ ‫او‬ ‫اإلخالل‬ ‫او‬ ‫اإلفصاح‬ ‫او‬ ‫االستخدام‬ ‫او‬ ‫به‬ ‫المصرح‬ ‫غير‬‫او‬
‫التدمير‬.
5/14/2014

9. Information Security Triad…
Required by any business that handles information
Confidentiality
• Where the access is restricted to a specific list of people. These could be
company plans, secret manufacturing processes, formulas, etc.
Integrity
• Safeguarding the accuracy and completeness of information and
processing methods.
Availability
• Ensuring that authorized users have access to information when
they need it.
7/15/2014 9

10. •‫المعلومات‬ ‫ألمن‬ ‫األساسية‬ ‫المفاهيم‬…
•‫السرية‬
‫مخو‬ ‫غير‬ ‫اشخاص‬ ‫قبل‬ ‫من‬ ‫عليها‬ ‫يطلع‬ ‫وال‬ ‫تكشف‬ ‫ال‬ ‫المعلومات‬ ‫ان‬ ‫من‬ ‫التأكد‬ ‫وتعني‬‫لين‬
‫بذلك‬.
•‫التكامل‬
‫به‬ ‫العبث‬ ‫او‬ ‫تعديله‬ ‫يتم‬ ‫ولم‬ ‫صحيح‬ ‫المعلومات‬ ‫محتوى‬ ‫ان‬ ‫من‬ ‫التأكد‬‫او‬‫تغي‬‫ره‬‫في‬‫اية‬
‫المعالجة‬ ‫مراحل‬ ‫من‬ ‫مرحلة‬‫سواء‬‫مرحلة‬ ‫في‬‫الداخلي‬ ‫التعامل‬‫عن‬ ‫او‬ ‫المعلومات‬ ‫مع‬
‫مشروع‬ ‫غير‬ ‫تدخل‬ ‫طريق‬
•‫اإلتاحة‬
‫التأكد‬‫مع‬ ‫التفاعل‬ ‫على‬ ‫القدرة‬ ‫واستمرار‬ ‫المعلوماتي‬ ‫النظام‬ ‫عمل‬ ‫استمرار‬ ‫من‬
‫المعلومات‬‫وان‬‫ا‬ ‫دخوله‬ ‫او‬ ‫لها‬ ‫استخدامه‬ ‫منع‬ ‫الى‬ ‫يتعرض‬ ‫لن‬ ‫المعلومات‬ ‫مستخدم‬‫ليها‬
.
•5/14/2014

11. ISMS Core Concepts
Confidentiality
Integrity
Availability
Authenticity Reliability
Non-Repudiation
Accountability

12. ‫المعلومات‬ ‫امن‬ ‫إدارة‬ ‫لنظام‬ ‫االساسية‬ ‫المفاهيم‬
5/14/2014
‫السرية‬
‫التكامل‬
‫اإلتاحة‬
‫الموثوقية‬ ‫االعتمادية‬
‫االنكار‬ ‫عدم‬
‫المسؤولية‬

13. Confidentiality
Integrity
Availability
Information
Conversation
Document
Data media
Information systems
Network
Know-how
Human faults
Operational disruptions
Software faults
In-compatibility
Leakage
Power Failure
Delivery problem
Service disruption
Notice to quit, sickness
Loss of Key Personnel
Fire, smoke
Explosion
Water damage
Theft
Destruction,
Sabotage Vandalism
Natural phenomena
Virus
Forgery
Access
Control
Espionage
Illegal copying
Piracy copies
Fraud
Identification and Threats & Risks

14. ‫السرية‬
‫التكامل‬
‫االتاحة‬
‫المعلومات‬
‫المحادثات‬
‫المستندات‬
‫البيانات‬ ‫نقل‬ ‫وسائل‬
‫المعلومات‬ ‫انظمة‬
‫الشبكة‬
‫الخبرة‬
،‫البشرية‬ ‫االخطاء‬
‫العمل‬ ‫وتعطل‬
‫البرمجيات‬ ‫اخطاء‬
‫التوافق‬ ‫عدم‬
‫التسرب‬
‫التيار‬ ‫انقطاع‬
‫الكهربائي‬
، ‫التوصيل‬ ‫مشاكل‬
‫الخدمة‬ ‫وانقطاع‬
‫المفاتيح‬ ‫فقدن‬ ، ‫المرض‬
‫الحريق‬
‫الناجمة‬ ‫االخطار‬
‫المياه‬ ‫عن‬
‫السرقة‬
‫والتخريب‬ ‫الدمار‬
‫الطبيعية‬ ‫الكوارث‬
‫الفيروسات‬
‫تزوير‬
‫التحكم‬
‫بالوصول‬
‫التجسس‬
،‫المشروع‬ ‫غير‬ ‫النسخ‬
‫القرصنة‬
‫االحتيال‬
‫والتهديدات‬ ‫المخاطر‬
5/14/2014

15. Information Security Concepts
Components of Risk
Proprietary
15
Threat
Vulnerability+
RISK

16. ‫المعلومات‬ ‫امن‬ ‫مفاهيم‬
‫المخاطر‬ ‫عناصر‬
5/14/2014
‫التهديدات‬
‫الضعف‬ ‫نقاط‬+
‫الخطر‬

17. ISO 27001
is all about risk!

18. 5/14/2014
ISO 27001
‫المخاطر‬ ‫عن‬ ‫شيء‬ ‫كل‬

19. Introduction ISO 27001 & ISMS
ISO 27001 has been prepared to provide a model for:
Establishing
Implementing
Operating
Monitoring
Reviewing
Maintaining
and improving
a Risk based Information Security Management System (ISMS)

20. ‫مقدمة‬‫لاليزو‬27001‫المعلومات‬ ‫امن‬ ‫إدارة‬ ‫ونظام‬
5/14/2014
‫ايزو‬ ‫إعداد‬ ‫تم‬27001‫لالتي‬ ‫نموذج‬ ‫لتقديم‬:
‫التأسيس‬
‫التطبيق‬
‫التشغيل‬
‫المراقبة‬
‫المراجعة‬
‫والصيانة‬ ‫المحافظة‬
‫والتطوير‬
‫المعلومات‬ ‫امن‬ ‫إدارة‬ ‫نظام‬(ISMS)

21. Published in TWO parts
• ISO 27001:2005
Specification for Information Security Management
Systems
• ISO 17799:2005 (now ISO 27002)
Code of Practice for Information Security Management

22. ‫هما‬ ‫جزئيين‬ ‫في‬ ‫اصدرت‬:
5/14/2014
•‫ايزو‬27001:2005
‫المعلومات‬ ‫امن‬ ‫ادارة‬ ‫انظمة‬ ‫في‬ ‫مختصة‬
•‫ايزو‬17799:2005(‫األن‬27002)
‫المعلومات‬ ‫امن‬ ‫ادارة‬ ‫ممارسة‬ ‫قواعد‬

23. The benefits of certification are numerous and include:
1. Policies & procedures.
2. Assured continued due diligence.
3. Evaluations will be conducted by Certified Bodies.
4. Your ISMS will be audited to a internationally accepted criteria
resulting in mutual recognition of the evaluation results
Certifiable, Proven, Defensible, Cost-Effective, Recognition of Best
Practices in information security
5. Assists organizational compliance with legal, regulatory, and
statutory requirements.
Why a standard?

24. ‫منها‬ ‫بعض‬ ‫وسنذكر‬ ‫كثيره‬ ‫الشهادة‬ ‫هذه‬ ‫على‬ ‫الحصول‬ ‫فوائد‬:
.1‫واالجراءات‬ ‫السياسات‬.
.2‫الالزمة‬ ‫العناية‬ ‫الى‬ ‫الوصل‬ ‫من‬ ‫التأكد‬.
.3‫معتمدة‬ ‫هيئات‬ ‫قبل‬ ‫من‬ ‫ستجرى‬ ‫التقييم‬ ‫عمليات‬.
.4‫معايير‬ ‫وفق‬ ‫تدقيقه‬ ‫سيتم‬ ‫المعلومات‬ ‫امن‬ ‫ادارة‬ ‫نظام‬‫مما‬ ‫دوليا‬ ‫منسقة‬‫يؤدي‬‫إلى‬
‫لنتائج‬ ‫المتبادل‬ ‫االعتراف‬‫والدفاع‬ ،‫التقييم‬،‫عنها‬‫وفعاليتها‬‫التك‬ ‫حيث‬ ‫من‬،‫لفة‬‫التعرف‬ ‫و‬
‫أمن‬ ‫مجال‬ ‫في‬ ‫الممارسات‬ ‫أفضل‬ ‫على‬‫المعلومات‬.
.5‫يساعد‬‫المصلحه‬‫والتشريع‬ ‫التنظيمية‬ ‫والمتطلبات‬ ‫للقوانين‬ ‫االمتثال‬ ‫على‬‫ية‬.
‫المعيار‬ ‫هذا‬ ‫لماذا‬:
5/14/2014

25. Business Case for ISMS
Study Shows - Most common source of data
leaks*:
Lost or stolen laptops, Personal Digital Assistants or
memory sticks/thumb drives - 35% of all incidents
studied
Records lost by third-party business partners or
outsourcing companies – 24%
Misplaced or stolen back up file – 18%
Lost or stolen paper records – 13%
Usage of malware (spyware) programs - 10%
*U.S. Companies that reported a breach.
[Ponemon Data Breach Study – October 2007 (US)]

26. ‫المعلومات‬ ‫امن‬ ‫ادارة‬ ‫بنظام‬ ‫متعلقة‬ ‫عامة‬ ‫حالة‬ ‫دراسة‬
5/14/2014
‫الدراسة‬ ‫تبين‬:‫البيانات‬ ‫تسريب‬ ‫في‬ ‫شيوعا‬ ‫االكثر‬ ‫االسباب‬ ‫ان‬:
‫المحمولة‬ ‫األجهزة‬ ‫او‬ ،‫توب‬ ‫الالب‬ ‫الحاسب‬ ‫سرقة‬ ‫او‬ ‫فقدان‬‫الذاكرة‬ ‫او‬
‫بنسبة‬35%
‫بنسبة‬ ‫المنظمات‬ ‫مع‬ ‫المتعاقدة‬ ‫الشركات‬ ‫قبل‬ ‫من‬ ‫السجالت‬ ‫فقدان‬24.%
‫ضياعها‬ ‫او‬ ‫االحتياطية‬ ‫النسخ‬ ‫سرقة‬18.%
‫ضياعها‬ ‫او‬ ‫الورقية‬ ‫السجالت‬ ‫سرقة‬13.%
‫الضارة‬ ‫البرامج‬ ‫استخدام‬10.%
*‫عهد‬ ‫بها‬ ‫قام‬ ‫الدراسة‬ ‫هذه‬‫بونيمون‬‫االمريكية‬ ‫المتحد‬ ‫الواليات‬ ‫في‬

27. Security Breaches
• Information Security is “Organizational Problem” rather than “IT
Problem”.
• More than 80% of Threats are Internal.
• More than 60% culprits are First Time fraudsters.
• Biggest Risk : People.
• Biggest Asset : People
• Social Engineering is major threat.
More than 2/3rd express their inability to determine “Whether my
systems are currently compromised?”
7/15/2014 27

28. ‫االمنية‬ ‫الخروقات‬
•‫المعلومات‬ ‫تقنية‬ ‫في‬ ‫فقط‬ ‫محصورة‬ ‫وليست‬ ‫عام‬ ‫بشكل‬ ‫للمنظمة‬ ‫على‬ ‫المعلومات‬ ‫امن‬ ‫ضرر‬
•80%‫المنظمة‬ ‫داخل‬ ‫من‬ ‫تكون‬ ‫التهديدات‬ ‫من‬.
•60%‫الجناة‬ ‫قبل‬ ‫من‬ ‫مره‬ ‫ألول‬ ‫تحدث‬ ‫الحوادث‬ ‫من‬.
•‫المخاطر‬ ‫اكبر‬:‫االشخاص‬.
•‫االصول‬ ‫اكبر‬:‫االشخاص‬
•‫التهديدات‬ ‫اكبر‬ ‫تعتبر‬ ‫االجتماعية‬ ‫الهندسة‬.
‫خطر‬ ‫في‬ ‫األنظمة‬ ‫كانت‬ ‫اذا‬ ‫ما‬ ‫تحديد‬ ‫يستطيعون‬ ‫ال‬ ‫االشخاص‬ ‫ثلثي‬ ‫من‬ ‫اكثر‬
5/14/2014

29. Security breaches leads to
• Reputation loss
• Financial loss
• Intellectual property loss
• Legislative Breaches leading to legal actions (Cyber Law)
• Loss of customer confidence
• Business interruption costs
7/15/2014 29
LOSS OF GOODWILL

30. ‫الخروقات‬‫األمنية‬‫يؤدي‬‫إلى‬
•‫المنظمة‬ ‫سمعة‬ ‫فقدان‬
•‫المالية‬ ‫الخسائر‬
•‫الفكرية‬ ‫الملكية‬ ‫خسائر‬
•‫قانونية‬ ‫اجراءات‬ ‫الى‬ ‫يؤدي‬ ‫مما‬ ‫التشريعية‬ ‫الخروقات‬
•‫العميل‬ ‫ثقة‬ ‫فقدان‬
•‫العمل‬ ‫تعطل‬ ‫تكاليف‬
5/14/2014
‫السمعة‬ ‫فقدان‬

31. Lifecycle
7/15/2014 31

32. ‫المعلومات‬ ‫امن‬ ‫ادارة‬ ‫نظام‬ ‫دورة‬
5/14/2014

33. Where does it start ? Security
Planning is a quantitative process
which starts from Information
Assets
'Information is an asset which, like other
important business assets, has value to
an organization and consequently needs
to be suitably protected’
7/15/2014 33

34. ‫ك‬ ‫عملية‬ ‫هو‬ ‫االمني‬ ‫التخطيط‬ ‫تبدأ؟‬ ‫اين‬ ‫من‬‫مية‬
‫المعلومات‬ ‫اصول‬ ‫من‬ ‫تبدا‬ ‫والتي‬.
‫هي‬ ‫المعلومات‬‫األصول‬ ‫أحد‬‫مثل‬‫من‬ ‫غيرها‬‫التجارية‬ ‫األصول‬،‫الهامة‬‫له‬
‫قيمة‬‫أن‬ ‫ويجب‬ ‫منظمة‬ ‫إلى‬‫محمية‬ ‫تكون‬‫بشكل‬‫مناسب‬
5/14/2014

35. Asset Critical Assessment
35

36. ‫االصول‬ ‫تقييم‬

37. In order to determine risks faced by Information,
we need to see, what happens to information in
the work place ?
• The three actors on information are
• People
• Processes
• Technology

38. ‫بحاجة‬ ‫نحن‬ ،‫المعلومات‬ ‫تواجهها‬ ‫التي‬ ‫المخاطر‬ ‫تحديد‬ ‫اجل‬ ‫من‬
‫العمل‬ ‫مكان‬ ‫في‬ ‫للمعلومات‬ ‫يحدث‬ ‫ماذا‬ ‫نرى‬ ‫ان‬ ‫إلى‬
•‫هي‬ ‫للمعلومات‬ ‫الرئيسة‬ ‫اضالع‬ ‫الثالثة‬:
•‫األشخاص‬
•‫العمليات‬
•‫التقنية‬

39. Information can be:
• Created
• Stored
• Destroyed
• Processed
• Transmitted
• Used – (For proper &
improper purposes)
• Corrupted
• Lost
39
Actors
• Stolen
• Printed or written
• Stored electronically
• Transmitted by post or
using electronics means
• Shown on corporate videos
• Displayed / published on
web
• Verbal – spoken in
conversations

40. ‫تكون‬ ‫قد‬ ‫المعلومات‬:
•‫مؤلفة‬
•‫مخزنة‬
•‫متلفة‬
•‫معالجة‬
•‫منقولة‬
•‫مستخدمة‬-(‫كانت‬ ‫سوآءا‬
‫ألغراض‬‫غير‬ ‫او‬ ‫سليمة‬
‫ذلك‬)
•‫فاسدة‬
•‫ضائعة‬
40
•‫مسروقة‬
•‫مكتوبة‬ ‫او‬ ‫مطبوعة‬
•‫الكترونيا‬ ‫مخزنة‬
•‫او‬ ‫البريد‬ ‫طريق‬ ‫عن‬ ‫منقولة‬‫أي‬
‫الكترونية‬ ‫وسيلة‬
•‫طريق‬ ‫عن‬ ‫معروضه‬‫الفيديو‬
•‫طريق‬ ‫عن‬ ‫وتنشر‬ ‫تعرض‬‫الويب‬
•‫اللفظية‬–‫المحادثات‬ ‫طريق‬ ‫عن‬

41. People “Who we are”
People who use or interact with the Information include:
 Share Holders / Owners.
 Management.
 Employees.
 Business Partners.
 Service providers.
 Contractors.
 Customers / Clients.
 Regulators etc…
7/15/2014 41

42. ( ‫االشخاص‬(‫هم‬ ‫من‬
‫ويشمل‬ ‫المعلومات‬ ‫مع‬ ‫ويتفاعلون‬ ‫يستخدمون‬ ‫الذين‬ ‫االشخاص‬:
‫المساهمين‬/‫المالك‬
‫االدارة‬
‫الموظفين‬
‫التجاريين‬ ‫الشركاء‬
‫الخدمة‬ ‫مزودي‬
‫المتعاقدين‬
‫الزبائن‬/‫العمالء‬
‫المنظمين‬..‫والخ‬
7/15/2014 42

43. Process “what we do”
The processes refer to "work practices" or workflow. Processes
are the repeatable steps to accomplish business objectives.
Typical process in our IT Infrastructure could include:
 Helpdesk / Service management.
 Incident Reporting and Management.
 Change Requests process.
 Request fulfillment.
 Access management.
 Identity management.
 Service Level / Third-party Services Management.
 IT procurement process etc...
7/15/2014 43

44. ‫العملية‬"‫به‬ ‫نقوم‬ ‫ما‬"
‫إلى‬ ‫تشير‬ ‫العمليات‬"‫العمل‬ ‫ممارسات‬"‫العمل‬ ‫سير‬ ‫أو‬.‫و‬‫الخطوات‬ ‫هي‬‫المتكررة‬‫أه‬ ‫إلنجاز‬‫داف‬
‫العمل‬.‫أن‬ ‫ويمكن‬‫البنية‬ ‫في‬ ‫النموذجية‬ ‫العملية‬ ‫تشتمل‬‫التحتية‬‫المعلومات‬ ‫لتقنية‬‫االتي‬ ‫على‬:
‫الخدمات‬ ‫ادارة‬/‫المساعدة‬ ‫مركز‬
‫عنها‬ ‫واالبالغ‬ ‫الحوادث‬ ‫ادارة‬
‫التغيير‬ ‫طلبات‬ ‫طريقة‬
‫االيفاء‬ ‫طلب‬
‫الوصول‬ ‫ادارة‬
‫الهوية‬ ‫ادارة‬
‫الخدمة‬ ‫مستوى‬/‫الثالثة‬ ‫األطراف‬ ‫خدمات‬ ‫إدارة‬.
‫الشراء‬ ‫عملية‬...‫الخ‬
5/14/2014

45. Technology “what we use to automate”
• Automatic Logs
• Reports
• Outputs

46. ‫التكنولوجيا‬(‫آلي‬ ‫لنجعله‬ ‫نستخدم‬ ‫ماذا‬)
•‫االتوماتيكية‬ ‫السجالت‬
•‫التقارير‬
•‫المخرجات‬

47. Why documentation is required
ISO-27001 Audit Criteria:
An auditor audits the auditee against 3 mentioned criteria
1. Legal and Regulatory
2. ISO-27001:2005 Standard
3. Organizational Document
7/15/2014 47
Business advantage of documentation:
The intellect, the skill and experience of the employees
becomes the intellect, skill and experience of the
organization e.g. Manual switch over of a server.

48. ‫التوثيق‬ ‫الى‬ ‫نحتاج‬ ‫لماذا‬
‫معاير‬‫التدقيق‬‫ايزو‬27001
‫المدقق‬‫يقوم‬‫بالتدقيق‬‫في‬‫الجهة‬‫الخاضعة‬‫للتدقيق‬‫في‬‫ثالث‬‫معايير‬:
.1‫القانونية‬‫والتنظيمية‬
.2‫معايير‬‫ايزو‬27001
.3‫الوثيقة‬‫التنظيمية‬
5/14/2014
‫الفائدة‬‫العملية‬‫من‬‫التوثيق‬
‫فكر‬‫ومهارة‬‫وخبرة‬‫الموظفين‬‫ت‬‫صبح‬‫فكر‬‫ومهارة‬‫وخبرة‬‫للمصلحة‬‫على‬‫سب‬‫يل‬
‫المثال‬‫التبديل‬‫اليدوي‬‫على‬‫الخادم‬.

49. Documentation
7/15/2014 49

50. ‫التوثيق‬
5/14/2014

51. Information Security Policy
IS Policy is approved by Top Management
and Policy is published in the organization
7/15/2014 51

52. ‫المعلومات‬ ‫امن‬ ‫سياسة‬
‫من‬ ‫عليها‬ ‫الموافقة‬ ‫يتم‬ ‫المعلومات‬ ‫امن‬ ‫سياسة‬
‫السياسة‬ ‫تحرير‬ ‫يتم‬ ‫ثم‬ ‫ومن‬ ‫العليا‬ ‫االدارة‬ ‫قبل‬
5/14/2014

53. Control of Document
• All documents have to be controlled.
• The following information is essential to control a document:
• Title
• Type
• Issue status and version
• Page number & total number of pages
• Approval authority
• Issuing authority
• Issue date
• Document Code
7/15/2014 53

54. ‫بالوثائق‬ ‫التحكم‬
•‫السيطرة‬ ‫تحت‬ ‫تكون‬ ‫ان‬ ‫يجب‬ ‫الوثائق‬ ‫جميع‬.
•‫الوثائق‬ ‫على‬ ‫للسيطرة‬ ‫مهمه‬ ‫التالية‬ ‫المعلومات‬:
•‫العنوان‬
•‫النوع‬
•‫االصدار‬ ‫حالة‬
•‫الصفحات‬ ‫ارقام‬ ‫ومجموع‬ ‫الصفحة‬ ‫رقم‬
•‫الموافقة‬ ‫سلطة‬
•‫االصدار‬ ‫سلطة‬
•‫االصدار‬ ‫تاريخ‬
•‫الوثيقة‬ ‫كود‬
5/14/2014

55. Procedures
• Fixed, step-by-step sequence of activities or course of action
with definite start and end points that must be followed in the
same order to correctly perform a task. Repetitive procedures
are called routines.
• Procedure Documents:
• Control Of Documents
• Risk Assessment
• Corrective & Preventive Action
• Data Backup
• Patch Management
• Internal Audit
7/15/2014 55

56. ‫االجراءات‬
•،‫ثابتة‬‫سلسلة‬‫خطوات‬‫من‬‫األنشطة‬‫أو‬‫مسار‬‫العمل‬‫مع‬‫تحديد‬‫نقاط‬‫البداية‬‫والنهاية‬‫التي‬‫ي‬‫جب‬‫اتباعها‬
‫بالترتيب‬‫نفسه‬‫لتنفيذ‬‫مهمة‬‫بشكل‬‫صحيح‬.‫ويطلق‬‫على‬‫اإلجراءات‬‫المتكررة‬‫الروتي‬‫ن‬
•‫مستندات‬‫االجراءات‬:
•‫بالوثائق‬ ‫التحكم‬
•‫المخاطر‬ ‫تقييم‬
•‫والوقائية‬ ‫التصحيحية‬ ‫االعمال‬
•‫للبيانات‬ ‫االحتياطي‬ ‫النسخ‬
•‫التصحيح‬ ‫ادارة‬
•‫الداخلي‬ ‫التدقيق‬
5/14/2014

57. Standards
• General: Written definition, limit, or rule,
approved and monitored for compliance by an
authoritative agency or professional or
recognized body as a minimum acceptable
benchmark.
• Standards may be classified as
• Government or statutory agency standards and
specifications enforced by law,
• Proprietary standards developed by a firm or
organization and
placed in public domain to encourage their
widespread use, and Voluntary standards
established by consultation and consensus and
available
for use by any person, organization, or industry.
7/15/2014 57
• Standard Document:
– Access Control
– Asset Management
– Backup & Restoration
– Data Transmission
– Data Classification
– Data Encryption
– Data Handling
– Employee Conduct
– Event Logging
– Firewall
– Network Application
– Network Security
– Physical Security
– Teleworking

58. ‫المعايير‬
‫بشكل‬‫عام‬:‫تعريف‬‫مكتوب‬‫ومحدد‬‫او‬،‫قاعده‬‫تكون‬‫مراقبة‬
‫ومصدقة‬‫للتماثل‬‫من‬‫قبل‬‫وكالة‬‫موثوقة‬‫او‬‫هيئه‬‫مهنية‬‫مع‬‫ترف‬
‫بها‬‫او‬‫الحد‬‫االدنى‬‫المقبول‬‫من‬‫المعيار‬.
•‫المعايير‬‫قد‬‫تقسم‬‫الى‬:
•‫وكالة‬ ‫أو‬ ‫الحكومة‬ ‫معايير‬‫قانونية‬‫والمواصفات‬
‫االلزامية‬‫القانون‬ ‫بموجب‬،
•‫منظمة‬ ‫أو‬ ‫شركة‬ ‫وضعتها‬ ‫التي‬ ‫الملكية‬ ‫معايير‬
‫وضعت‬،‫واسع‬ ‫نطاق‬ ‫على‬ ‫استخدامها‬ ‫لتشجيع‬ ‫العام‬ ‫المجال‬ ‫في‬
‫والتوافق‬ ‫بالتشاور‬ ‫وضعتها‬ ‫التي‬ ‫الطوعية‬ ‫والمعايير‬‫واالتاح‬‫ة‬
‫لالستخدام‬‫أو‬ ،‫منظمة‬ ‫أو‬ ‫شخص‬ ‫أي‬ ‫قبل‬ ‫من‬‫صناعة‬.
5/14/2014
•‫مستند‬‫المعايير‬:
–‫بالوصول‬ ‫التحكم‬
–‫االصول‬ ‫ادارة‬
–‫االحتياطي‬ ‫والنسخ‬ ‫الحفظ‬
–‫البيانات‬ ‫نقل‬
–‫البيانات‬ ‫تصنيف‬
–‫البيانات‬ ‫تشفير‬
–‫البيانات‬ ‫معالجة‬
–‫الموظف‬ ‫سلوك‬
–‫االحداث‬ ‫تسجيل‬
–‫الناري‬ ‫الجدار‬
–‫الشبكة‬ ‫تطبيق‬
–‫الشبكة‬ ‫امن‬
–‫المادي‬ ‫االمن‬
–‫بعد‬ ‫عن‬ ‫العمل‬

59. Plan
• Written account of intended future course of action scheme aimed at
achieving specific goal(s) or objective(s) within a specific timeframe. It
explains in detail what needs to be done, when, how, and by whom, and
often includes best case, expected case, and worst case scenarios.
• Plan Documents
• Business Continuity Plan
• Change Control Plan
• Incident Response Plan
• Internal Audit Plan
• Security Awareness Plan
• Vendor Implementation Plan
• Vulnerability Assessment
7/15/2014 59

60. ‫الخطة‬
•‫المسار‬‫المستقبلي‬‫المقصود‬‫من‬‫خطة‬‫العمل‬‫الرامية‬‫إلى‬‫تحقيق‬‫هدف‬‫معين‬‫أو‬‫غاية‬‫في‬‫غضون‬‫فترة‬‫زمني‬‫ة‬‫محددة‬.
‫وهذا‬‫ما‬‫يفسر‬‫بالتفصيل‬‫ما‬‫يجب‬‫القيام‬،‫به‬،‫ومتى‬،‫وكيف‬‫وعلى‬‫يد‬،‫من‬‫ويتضمن‬‫أفضل‬،‫حالة‬‫والحالة‬،‫المتوقعة‬
‫وأسوأ‬‫السيناريوهات‬‫في‬‫كثير‬‫من‬‫األحيان‬.
•‫مستندات‬‫الخطة‬
•‫العمل‬ ‫استمرارية‬ ‫خطة‬
•Change Control Plan
•‫للحوادث‬ ‫االستجابة‬ ‫خطة‬
•‫الداخلي‬ ‫التقييم‬ ‫خطة‬
•‫االمنية‬ ‫التوعية‬ ‫خطة‬
•‫البائع‬ ‫تطبيق‬ ‫خطة‬
•‫الضعف‬ ‫نقاط‬ ‫تقييم‬
5/14/2014

61. Guideline
• Intended to answer specific questions.
• Contain information on questions concerning the directive.
• intended to provide orientation and help to meet the requirements of
the directive.
• Draft Guidelines are developed by the Professional draftsmen and
subjected to internal comment and review by other experts.
• Guideline documents:
• Access Control Guideline
• Data Protection Guideline
• Email Security Guideline
• Password Control Guideline
• Routing Guideline
• Security Guideline
• WLAN Guideline
7/15/2014 61

62. ‫االرشادات‬
•‫تهدف‬‫الى‬‫االجابة‬‫عن‬‫اسئلة‬‫محدده‬
•‫تحتوي‬‫على‬‫معلومات‬‫بشأن‬‫المسائل‬‫المتعلقة‬‫بالتوجيه‬
•‫تهدف‬‫الى‬‫تقديم‬‫التوجيه‬‫والمساعدة‬‫لتلبية‬‫متطلبات‬‫التوجيهات‬
•‫يتم‬‫تطوير‬‫مشروع‬‫المبادئ‬‫التوجيهية‬‫من‬‫قبل‬‫واضعي‬‫النصوص‬‫وتعرض‬‫للمن‬‫اقشة‬
‫والمراجعة‬‫الداخلية‬‫من‬‫قبل‬‫خبراء‬‫اخرين‬
•‫اإلرشادات‬ ‫مستندات‬
•‫بالوصول‬ ‫التحكم‬ ‫ارشادات‬
•‫البيانات‬ ‫حماية‬ ‫ارشادات‬
•‫االلكتروني‬ ‫البريد‬ ‫امن‬ ‫ارشادات‬
•‫المرور‬ ‫بكلمة‬ ‫التحكم‬ ‫ارشادات‬
•‫التوجيه‬ ‫ارشادات‬
•‫االمن‬ ‫ارشادات‬
•‫الالسلكية‬ ‫الداخلية‬ ‫الشبكة‬ ‫استخدام‬ ‫ارشادات‬
5/14/2014

63. Operational Forms
• Operational forms are set of procedures and permission need
to be filled up at the event of and any non-recommended
action.
7/15/2014 63

64. ‫التشغيل‬ ‫نماذج‬
•‫نماذج‬‫التشغيل‬‫هي‬‫مجموعة‬‫من‬‫اإلجراءات‬‫والرخص‬‫الالزمة‬‫التي‬‫يتطلب‬‫تعبئتها‬‫ف‬‫ي‬‫حالة‬
‫حدوث‬‫أي‬‫عمل‬‫غير‬‫موصى‬‫به‬
5/14/2014

65. Records (Evidences)
• The organisation needs to maintain records to provide
evidence of conformities to requirements and to determine the
effectiveness of ISMS.
• Should be simple and legible.
• Should be used for the continual improvement of ISMS.
• Should be organized and manageable.
• Should be maintained in any form.
7/15/2014 65

66. ‫سجالت‬(‫األدلة‬)
•‫على‬ ‫يجب‬‫المصلحه‬‫على‬ ‫أدلة‬ ‫لتقديم‬ ‫بسجالت‬ ‫االحتفاظ‬‫للمتط‬ ‫مطابقتها‬‫لبات‬‫وتحديد‬
‫فعالية‬‫المعلومات‬ ‫امن‬ ‫ادارة‬ ‫نظام‬.
•‫القراءة‬ ‫وسهلة‬ ‫بسيطة‬ ‫تكون‬ ‫أن‬ ‫ينبغي‬.
•‫المستمر‬ ‫لتحسين‬ ‫تستخدم‬ ‫أن‬ ‫وينبغي‬‫المعلومات‬ ‫امن‬ ‫ادارة‬ ‫لنظام‬.
•‫بها‬ ‫التحكم‬ ‫سهل‬ ‫و‬ ‫منظمة‬ ‫تكون‬ ‫ان‬ ‫وينبغي‬.
•‫الحفاظ‬ ‫ينبغي‬‫بأي‬ ‫عليها‬‫األشكال‬ ‫من‬ ‫شكل‬.
5/14/2014

67. Effective Documentation
 Clear
 Concise
 User friendly
 Use short sentences starting with a verb
 Avoid using the passive voice. Make it clear who is
performing the task
 Use white space for easy reading
 Precise and as much as needed
 Work instructions written for virtually everything
 No overlap and repetition
7/15/2014 67

68. ‫الفعال‬ ‫التوثيق‬
‫واضح‬
‫مختصر‬
‫المعاملة‬ ‫حسن‬
‫قصيرة‬ ‫جمل‬ ‫استخدام‬‫بفعل‬ ‫تبدأ‬
‫للمجهول‬ ‫المبني‬ ‫صيغة‬ ‫استخدام‬ ‫تجنب‬.‫الذي‬ ‫من‬ ‫توضح‬ ‫ان‬ ‫يجب‬‫ب‬ ‫يقوم‬‫تنفيذ‬
‫المهمة‬
‫لتسهيل‬ ‫البيضاء‬ ‫المساحة‬ ‫استخدام‬‫القراءة‬
‫وبقدر‬ ‫دقيقة‬‫الحاجة‬
‫شيء‬ ‫كل‬ ‫على‬ ‫مكتوبة‬ ‫العمل‬ ‫تعليمات‬‫تقريبا‬
‫يوجد‬ ‫ال‬‫والتكرار‬ ‫تداخل‬
5/14/2014

69. Education regarding
organizational documentation
strengthens the Human Wall.
Human wall is always better than a firewall.
7/15/2014 69
Information Security is EVERYONE’s responsibility.

70. ‫جدار‬ ‫من‬ ‫افضل‬ ‫هو‬ ‫دائما‬ ‫البشري‬ ‫الجدار‬
‫الحماية‬
‫يقوي‬ ‫التنظيمية‬ ‫الوثائق‬ ‫بشأن‬ ‫التعليم‬‫البشري‬ ‫الجدار‬.
5/14/2014
‫مسؤولية‬ ‫المعلومات‬ ‫امن‬‫الجميع‬

71. ISO 27001 - Roadmap
71

72. ‫طريق‬ ‫خارطة‬ ‫ايزو‬27001–
5/14/2014

73. 73
ISO 27001 - Scope
ISO 27001 provides a model for establishing, implementing,
operating, monitoring, reviewing, maintaining and improving an
Information Security Management System (ISMS).
The adoption of an ISMS should be a strategic decision for an
organization. The design and implementation of an organization’s
ISMS is influenced by their needs and objectives, security
requirements, the processes employed and the size and structure of
the organization.
These and their supporting systems are expected to change over time.
It is expected that an ISMS implementation will be scaled in
accordance with the needs of the organization, e.g. a simple situation
requires a simple ISMS solution.
The ISO 27001 Standard can be used in order to assess conformance
by interested internal and external parties.

74. 5/14/2014
‫ايزو‬27001–‫العمل‬ ‫نطاق‬
‫ايزو‬27001‫يقدم‬‫وت‬ ‫وصيانة‬ ‫ومراجعة‬ ‫ومراقبة‬ ‫وتشغيل‬ ‫وتنفيذ‬ ‫إلنشاء‬ ‫نموذجا‬‫حسين‬
‫المعلومات‬ ‫أمن‬ ‫إدارة‬ ‫نظام‬(ISMS.)
‫اعتماد‬‫المعلومات‬ ‫امن‬ ‫ادارة‬ ‫نظام‬‫للمؤسسة‬ ‫استراتيجيا‬ ‫قرارا‬ ‫يكون‬ ‫أن‬ ‫ينبغي‬.‫ويتأثر‬
‫تصميم‬‫في‬ ‫وتنفيذه‬‫المصلحه‬‫األ‬ ‫والمتطلبات‬ ‫واألهداف‬ ‫االحتياجات‬ ‫خالل‬ ‫من‬،‫منية‬
‫والعمليات‬‫وحجم‬ ‫المستخدمة‬‫وهيكلة‬‫المصلحه‬.
‫من‬‫تتغير‬ ‫أن‬ ‫المتوقع‬‫وهذه‬‫الداعمة‬ ‫األنظمة‬‫مع‬ ‫لها‬‫الوقت‬ ‫مرور‬.‫ي‬ ‫أن‬ ‫المتوقع‬ ‫ومن‬‫تم‬
‫تنفيذ‬ ‫تحجيم‬ISMS‫الحتياجات‬ ‫وفقا‬‫المصلحه‬،‫ت‬ ‫بسيطة‬ ‫حالة‬ ‫المثال‬ ‫سبيل‬ ‫على‬‫تطلب‬
‫خالل‬ISMS.
‫ايزو‬ ‫و‬27001‫يمكن‬ ‫معيار‬‫من‬ ‫استخدامه‬‫األطراف‬ ‫قبل‬ ‫من‬ ‫المطابقة‬ ‫تقييم‬ ‫أجل‬
‫المهتمة‬ ‫والخارجية‬ ‫الداخلية‬.

75. 75
Management Support
• Management should actively support security within the
organization through clear direction, demonstrated commitment,
explicit assignment, and acknowledgment of information security
responsibilities.
• Management should approve the information security policy,
assign security roles and co-ordinate and review the
implementation of security across the organization.

76. 5/14/2014
‫االدارة‬ ‫دعم‬
•‫داخل‬ ‫األمن‬ ‫إدارة‬ ‫بنشاط‬ ‫تدعم‬ ‫أن‬ ‫يجب‬‫المصلحه‬‫اتجاه‬ ‫خالل‬ ‫من‬‫و‬ ،‫واضح‬ ‫والتزام‬
،‫مبينه‬ ‫مهمة‬‫المعلومات‬ ‫أمن‬ ‫مسؤوليات‬ ‫واالعتراف‬.
•‫وتنس‬ ‫األمنية‬ ‫األدوار‬ ‫وإسناد‬ ،‫المعلومات‬ ‫أمن‬ ‫سياسة‬ ‫على‬ ‫الموافقة‬ ‫لإلدارة‬ ‫ينبغي‬‫يق‬
‫أنحاء‬ ‫جميع‬ ‫في‬ ‫األمن‬ ‫تنفيذ‬ ‫واستعراض‬‫المصلحه‬.

77. 77
Inventory of Assets
• All assets should be clearly identified and an inventory of all
important assets drawn up and maintained.
• The asset inventory should include all information necessary in
order to recover from a disaster, namely:
• Type of asset;
• Format (i.e. Information, software, physical, services, people,
intangibles)
• Location;
• Backup information;
• License information;
• Business value.

78. 5/14/2014
‫االصول‬ ‫جرد‬
•‫علي‬ ‫والمحافظة‬ ‫الهامة‬ ‫االصول‬ ‫جميع‬ ‫وحصر‬ ‫بوضوح‬ ‫تحدد‬ ‫ان‬ ‫يجب‬ ‫االصول‬ ‫جميع‬‫ها‬.
•‫الكوارث‬ ‫من‬ ‫التعافي‬ ‫اجل‬ ‫من‬ ‫الالزمة‬ ‫المعلومات‬ ‫جميع‬ ‫االصول‬ ‫تشمل‬ ‫ان‬ ‫ينبغي‬:
•‫االصول‬ ‫نوع‬
•‫شكل‬(‫أي‬‫المعلومات‬‫والبرمجيات‬ ،،‫والماديات‬
،‫والخدمات‬‫غير‬ ‫واالصول‬ ،‫واالشخاص‬‫الملموسة‬)
•‫الموقع‬
•‫االحتياطي‬ ‫النسخ‬ ‫معلومات‬
•‫المرخصة‬ ‫المعلومات‬
•‫العمل‬ ‫قيمة‬

79. 79
Risk Assessment
• Risk assessments should identify, quantify, and prioritize risks against criteria
for risk acceptance and objectives relevant to the organization.
• The results should guide and determine the appropriate management action
and priorities for managing information security risks and for implementing
controls selected to protect against these risks.
• The process of assessing risks and selecting controls may need to be
performed a number of times to cover different parts of the organization or
individual information systems.
• Risk assessment should include the systematic approach of estimating the
magnitude of risks (risk analysis) and the process of comparing the
estimated risks against risk criteria to determine the significance of the risks
(risk evaluation).
• The information security risk assessment should have a clearly defined scope
in order to be effective and should include relationships with risk
assessments in other areas, if appropriate.

80. 5/14/2014
‫المخاطر‬ ‫تقييم‬
•‫تقييم‬‫المخاطر‬‫أولويات‬ ‫يقيس‬ ‫و‬ ‫يحدد‬ ‫ان‬ ‫يجب‬‫المخاطر‬‫وفق‬‫معايير‬‫ال‬ ‫المخاطر‬‫مقبولة‬
‫الصلة‬ ‫ذات‬ ‫واألهداف‬‫للمصلحه‬.
•‫وتحدد‬ ‫توجه‬ ‫ان‬ ‫يجب‬ ‫النتائج‬‫أولويات‬‫أمن‬ ‫مخاطر‬ ‫إدارة‬ ‫اولوية‬ ‫وتحدد‬ ‫االدارة‬ ‫عمل‬
‫المعلومات‬‫وتطبيق‬‫هذه‬ ‫من‬ ‫للحماية‬ ‫المحددة‬ ‫الضوابط‬‫المخاطر‬.
•‫قد‬‫ع‬ ‫بها‬ ‫القيام‬ ‫يتعين‬ ‫التي‬ ‫الضوابط‬ ‫وتحديد‬ ‫المخاطر‬ ‫تقييم‬ ‫عملية‬ ‫تحتاج‬‫لتغطية‬ ‫مرات‬ ‫دة‬
‫من‬ ‫مختلفة‬ ‫أجزاء‬‫المصلحه‬‫الفردية‬ ‫المعلومات‬ ‫نظم‬ ‫أو‬.
•‫المخاطر‬ ‫حجم‬ ‫لتقدير‬ ‫منظم‬ ‫نهج‬ ‫مخاطر‬ ‫تقييم‬ ‫تشمل‬ ‫أن‬ ‫وينبغي‬(‫المخاط‬ ‫تحليل‬‫ر‬)‫وعملية‬
‫هذه‬ ‫مقارنة‬‫لتحديد‬ ‫المخاطر‬ ‫لمعايير‬ ‫وفقا‬ ‫المقدرة‬ ‫المخاطر‬‫أهميتها‬(‫تقييم‬‫المخاط‬‫ر‬.)
•‫تقييم‬ ‫يكون‬ ‫أن‬ ‫يجب‬‫مخاطر‬‫المعلومات‬ ‫أمن‬‫في‬‫نطاق‬‫واضح‬‫تك‬ ‫أن‬ ‫أجل‬ ‫من‬ ‫المعالم‬‫ون‬
‫تشمل‬ ‫أن‬ ‫وينبغي‬ ‫فعالة‬‫عالقات‬‫ذل‬ ‫كان‬ ‫إذا‬ ،‫أخرى‬ ‫مجاالت‬ ‫في‬ ‫المخاطر‬ ‫تقييم‬ ‫مع‬‫ك‬
‫مناسبا‬.

81. 81
Conduct Risk Assessment and
Prepare Risk Treatment
Plan
• The organisation should formulate a risk treatment plan (RTP) that
identifies the appropriate management action, resources,
responsibilities and priorities for managing information security
risks.
• The RTP should be set within the context of the organization's
information security policy and should clearly identify the approach
to risk and the criteria for accepting risk.
• The RTP is the key document that links all four phases of the Plan,
Do, Check, Act (PDCA) cycle for the ISMS.

82. 5/14/2014
‫خطة‬ ‫وإعداد‬ ‫المخاطر‬ ‫تقييم‬ ‫إجراء‬‫منها؟‬ ‫التعافي‬
•‫ينبغي‬‫للمصلحه‬‫خطة‬ ‫وضع‬‫من‬ ‫للتعافي‬‫المخاطر‬RTP‫تحدد‬ ‫الذي‬،‫اإلدارية‬ ‫اإلجراءات‬
‫إلدارة‬ ‫المناسبة‬ ‫واألولويات‬ ‫والمسؤوليات‬ ‫والموارد‬‫مخاطر‬‫المعلومات‬ ‫أمن‬.
•‫و‬RTP‫المعلومات‬ ‫أمن‬ ‫سياسة‬ ‫سياق‬ ‫في‬ ‫تعيين‬ ‫يجب‬‫للمصلحه‬‫تحد‬ ‫أن‬ ‫وينبغي‬‫بوضوح‬ ‫د‬
‫قبول‬ ‫ومعايير‬ ‫للمخاطرة‬ ‫النهج‬‫المخاطر‬.
•RTP‫هي‬‫األربع‬ ‫المراحل‬ ‫جميع‬ ‫تربط‬ ‫التي‬ ‫الرئيسية‬ ‫الوثيقة‬(‫خطط‬-‫نفذ‬–‫ت‬‫حقق‬–
‫صحح‬)(PDCA)‫دورة‬‫ل‬ISMS

83. 83
Prepare Statement of
Applicability
• A Statement of Applicability (SOA) is a document that lists an
organization’s information security control objectives and controls.
• The SOA is derived from the results of the risk assessment, where:
• Risk treatments have been selected;
• All relevant legal and regulatory requirements have been
identified; Contractual obligations are fully understood;
• A review the organization’s own business needs and
requirements has been carried out.

84. 5/14/2014
‫التطبيق‬ ‫قابلية‬ ‫بيان‬ ‫اعداد‬
•‫بيان‬‫التطبيق‬ ‫قابلية‬(SOA)‫الرقابة‬ ‫أهداف‬ ‫تسرد‬ ‫وثيقة‬ ‫هو‬‫ألمن‬‫المؤسس‬ ‫في‬ ‫المعلومات‬‫ة‬
‫والضوابط‬.
•‫من‬ ‫مشتق‬ ‫وهو‬،‫المخاطر‬ ‫تقييم‬ ‫نتائج‬‫حيث‬:
•‫الخطر‬ ‫معالجة‬ ‫اختيار‬ ‫يتم‬;
•‫والتن‬ ‫القانونية‬ ‫المتطلبات‬ ‫جميع‬ ‫تحديد‬ ‫تم‬ ‫وقد‬‫ظيمية‬
‫التعاقدي‬ ‫االلتزامات‬ ‫تماما‬ ‫المفهوم‬ ‫ومن‬ ‫الصلة؛‬ ‫ذات‬‫ة‬‫؛‬
•‫الخاصة‬ ‫العمل‬ ‫احتياجات‬ ‫استعراض‬ ‫أجري‬ ‫وقد‬
‫للمصلحه‬‫المتطلبات‬ ‫تنفيذ‬ ‫و‬.

85. 85
PDCA Model
• The "Plan-Do-Check-Act" (PDCA) model is
applied to structure all ISMS processes.
• The diagram illustrates how an ISMS takes as
input the information security requirements
and expectations of the interested parties and
through the necessary actions and processes
produces managed information security
outcomes that meets those requirements and
expectations.

86. 5/14/2014
PDCA ‫نموذج‬
•‫ال‬ ‫نموذج‬PDCL‫وهو‬(‫خطط‬-‫نفذ‬–‫تحقق‬–‫صحح‬)
‫المعلومات‬ ‫امن‬ ‫ادارة‬ ‫نظام‬ ‫عمليات‬ ‫لجميع‬ ‫هيكلة‬ ‫لتطبيق‬.
•‫كيف‬ ‫التخطيطي‬ ‫الرسم‬ ‫يوضح‬ISMS‫متطلبات‬ ‫يأخذ‬‫أمن‬
‫األطراف‬ ‫وتوقعات‬ ‫المعلومات‬‫و‬ ‫كمدخالت‬ ‫المعنية‬‫من‬‫خالل‬
‫أمن‬ ‫مخرجات‬ ‫عنها‬ ‫ينتج‬ ‫الزمة‬ ‫وعمليات‬ ‫اجراءات‬‫المعلومات‬
‫والتوقعات‬ ‫المتطلبات‬ ‫تلك‬ ‫تلبي‬ ‫التي‬ ‫المدارة‬.

87. 87
• Plan (establish the ISMS)
• Establish ISMS policy, objectives, processes and procedures relevant to managing risk and
improving information security to deliver results in accordance with an organization’s overall
policies and objectives.
• Do (implement and operate the ISMS)
• Implement and operate the ISMS policy, controls, processes and procedures.
• Check (monitor and review the ISMS)
• Assess and, where applicable, measure process performance against ISMS policy, objectives
and practical experience and report the results to management for review.
• Act (maintain and improve the ISMS)
• Take corrective and preventive actions, based on the results of the internal ISMS audit and
management review or other relevant information, to achieve continual improvement of the
ISMS.
PDCA Model

88. 5/14/2014
•‫خ‬‫طط‬(‫نظام‬ ‫تأسيس‬ISMS)
•‫إنشاء‬‫المتعلقة‬ ‫المعلومات‬ ‫امن‬ ‫ادارة‬ ‫نظام‬ ‫وإجراءات‬ ‫وعمليات‬ ‫وأهداف‬ ‫سياسة‬
‫بإدارة‬‫للسياسات‬ ‫وفقا‬ ‫نتائج‬ ‫لتحقيق‬ ‫المعلومات‬ ‫أمن‬ ‫وتحسين‬ ‫المخاطر‬‫واألهداف‬
‫العامة‬‫للمصلحه‬.
•‫نفذ‬(‫ال‬ ‫وتشغيل‬ ‫تطبيق‬ISMS)
•‫وتشغيل‬ ‫تنفيذ‬ISMS‫واإلجراءات‬ ‫والعمليات‬ ‫والضوابط‬ ،‫السياسة‬.
•‫تحقق‬(‫ومراجعة‬ ‫مراقبة‬ISMS)
•‫تقييم‬‫قياس‬ ‫يتم‬ ‫مطابقة‬ ‫كانت‬ ‫واذا‬‫أداء‬‫واهداف‬ ‫لسياسة‬ ‫وفقا‬ ‫العملية‬‫وال‬‫خبرة‬
‫المعلومات‬ ‫امن‬ ‫ادارة‬ ‫لنظام‬ ‫العملية‬‫إدارة‬ ‫إلى‬ ‫النتائج‬ ‫وإبالغ‬‫للمراجعة‬
•‫صحح‬(‫ال‬ ‫وتطوير‬ ‫صيانة‬ISMS)
•‫الداخ‬ ‫المراجعة‬ ‫نتائج‬ ‫على‬ ‫وبناء‬ ،‫والوقائية‬ ‫التصحيحية‬ ‫اإلجراءات‬ ‫اتخاذ‬‫لية‬
‫ومراجعة‬‫أو‬ ‫المعلومات‬ ‫امن‬ ‫ادارة‬ ‫نظام‬،‫الصلة‬ ‫ذات‬ ‫المعلومات‬ ‫من‬ ‫غيرها‬
‫المستمر‬ ‫التحسين‬ ‫لتحقيق‬‫لل‬ISMS.
PDCA ‫نموذج‬

89. 89
ISMS Implementation
Programme
• Implement the risk treatment plan in order to achieve the
identified control objectives, which includes consideration of
funding and allocation of roles and responsibilities.
• Implement controls selected during establishing the ISMS to meet
the control objectives.
• Define how to measure the effectiveness of controls to allows
managers and staff to determine how well controls achieve
planned control objectives.
• Implement training and awareness programmes.

90. 5/14/2014
ISMS ‫تطبيق‬ ‫برنامج‬
•‫خطة‬ ‫تنفيذ‬‫من‬ ‫التعافي‬‫تحديده‬ ‫تم‬ ‫التي‬ ‫الرقابة‬ ‫أهداف‬ ‫تحقيق‬ ‫أجل‬ ‫من‬ ‫المخاطر‬‫والذي‬ ،‫ا‬
‫والمسؤوليات‬ ‫األدوار‬ ‫وتوزيع‬ ‫التمويل‬ ‫في‬ ‫النظر‬ ‫يتضمن‬.
•‫إنشاء‬ ‫أثناء‬ ‫المحددة‬ ‫الضوابط‬ ‫تنفيذ‬ISMS‫السيطرة‬ ‫أهداف‬ ‫لتحقيق‬.
•‫لتحدي‬ ‫والموظفين‬ ‫للمديرين‬ ‫لتتيح‬ ‫الضوابط‬ ‫فعالية‬ ‫قياس‬ ‫كيفية‬ ‫تحديد‬‫د‬‫ماهي‬‫الضوابط‬
‫تحقق‬ ‫التي‬‫المخططة‬ ‫الرقابة‬ ‫أهداف‬.
•‫وتدريب‬ ‫توعوية‬ ‫برامج‬ ‫تطبيق‬

91. 91
The ISMS Controls
• It is important to be able to demonstrate the relationship from the
selected controls back to the results of the risk assessment and risk
treatment process, and subsequently back to the ISMS policy and
objectives.
• The ISMS documentation should include:
• Documented statements of the ISMS policy and objectives;
• The scope of the ISMS;
• Procedures and controls in support of the ISMS;
• A description of the risk assessment methodology;
• The risk assessment report;
• The risk treatment plan;
• Documented procedures needed by the organization to ensure the
effective planning, operation and control of its information security
processes and describe how to measure the effectiveness of controls;
• Records required by the Standard;
• The Statement of Applicability.

92. 5/14/2014
ISMS ‫نظام‬‫المعلومات‬ ‫امن‬ ‫ادارة‬
•‫نتائج‬ ‫إلى‬ ‫المحددة‬ ‫التحكم‬ ‫عناصر‬ ‫من‬ ‫العالقة‬ ‫إثبات‬ ‫على‬ ‫قادرة‬ ‫تكون‬ ‫أن‬ ‫المهم‬ ‫من‬‫تقييم‬
‫إلى‬ ‫يعود‬ ‫ذلك‬ ‫وبعد‬ ،‫للخطر‬ ‫العالج‬ ‫وعملية‬ ‫المخاطر‬‫واهداف‬ ‫سياسات‬ISMS.
•‫وثائق‬ ‫تتضمن‬ ‫أن‬ ‫وينبغي‬ISMS:
•‫الموثقة‬ ‫البيانات‬‫لسياسة‬‫وأهداف‬ISMS‫؛‬
•‫ال‬ ‫عمل‬ ‫نطاق‬ISMS
•‫لدعم‬ ‫والضوابط‬ ‫اإلجراءات‬ISMS‫؛‬
•‫المخاطر‬ ‫تقييم‬ ‫لمنهجية‬ ‫وصف‬‫؛‬
•‫المخاطر‬ ‫تقييم‬ ‫تقرير‬‫؛‬
•‫خطة‬‫من‬ ‫التعافي‬‫المخاطر‬‫؛‬
•‫قبل‬ ‫من‬ ‫الالزمة‬ ‫اإلجراءات‬ ‫توثيق‬‫المصلحه‬‫ومراق‬ ‫وتشغيل‬ ‫الفعال‬ ‫التخطيط‬ ‫لضمان‬‫بة‬
‫الضوابط‬ ‫فعالية‬ ‫قياس‬ ‫كيفية‬ ‫ووصف‬ ،‫المعلومات‬ ‫وأمن‬ ‫العمليات‬‫؛‬
•‫المطلوبة‬ ‫السجالت‬‫المعايير؛‬ ‫بواسطة‬
•‫التطبيق‬ ‫إمكانية‬ ‫بيان‬.

93. ISO 27001 General Clauses
4 Information security management
system
4.1 General requirements
4.2 Establishing and managing the
ISMS
4.2.1 Establish the ISMS
4.2.2 Implement and operate the ISMS
4.2.3 Monitor and review the ISMS
4.2.4 Maintain and improve the ISMS
4.3 Documentation requirements
4.3.1 General
4.3.2 Control of documents
4.3.3 Control of records
5 Management responsibility
5.1 Management commitment
5.2 Resource management
5.2.1 Provision of resources
5.2.2 Training, awareness and
competence
8 ISMS improvement
8.1 Continual
improvement
8.2 Corrective action
8.3 Preventive action
6 Internal ISMS audits
7 Management review of the
ISMS
7.1 General
7.2 Review input
7.3 Review output

94. ‫لأليزو‬ ‫العامة‬ ‫البنود‬27001
4‫األمن‬ ‫إدارة‬ ‫نظام‬ ‫معلومات‬
4.1‫العامة‬ ‫المتطلبات‬
4.2‫المعلومات‬ ‫امن‬ ‫ادارة‬ ‫نظام‬ ‫وإدارة‬ ‫إنشاء‬
4.2.1‫تأسيس‬ISMS
4.2.2‫وتشغيل‬ ‫تنفيذ‬ISMS
4.2.3‫ومراجعة‬ ‫مراقبة‬ISMS
4.2.4‫وتحسين‬ ‫صيانة‬ISMS
4.3‫التوثيق‬ ‫متطلبات‬
4.3.1‫عامة‬
4.3.2‫الوثائق‬ ‫في‬ ‫التحكم‬
4.3.3‫السجالت‬ ‫في‬ ‫التحكم‬
5‫اإلدارة‬ ‫مسؤولية‬
5.1‫اإلدارة‬ ‫التزام‬
5.2‫الموارد‬ ‫إدارة‬
5.2.1‫الموارد‬ ‫توفير‬
5.2.2‫والكفاءة‬ ‫والتوعية‬ ‫التدريب‬
8‫تحسين‬ISMS
8.1‫المستمر‬ ‫التحسين‬
8.2‫التصحيحية‬ ‫اإلجراءات‬
8.3‫الوقائي‬ ‫العمل‬
6‫الحسابات‬ ‫مراجعة‬ ‫الداخلية‬ISMS
7‫اإلداري‬ ‫االستعراض‬‫لل‬ISMS
7.1‫العامة‬
7.2‫مراجعة‬ ‫مدخالت‬
7.3‫االستعراضي‬ ‫اإلخراج‬

95. ISO 27001 Annex A (normative)
A.5
Information
Security Policy
A.8
Human resource
Security
A.7
Asset Management
A.11
Access Control
A.12
Systems Acquisition,
Development &
Maintenance
A.13
Security Incident
Management
A.14
Business Continuity
Management
A.6
Organization of
information
Security
A.9
Physical & Environment
Security
A.10
Communication and
Operations
Management
A.15
Compliance

96. ‫ايزو‬27001‫أ‬ ‫المرفق‬(‫المعيارية‬)
5/14/2014
A.5
‫أمن‬ ‫سياسة‬‫المعلومات‬
A.8
‫أمن‬‫البشرية‬ ‫الموارد‬
A.7
‫إدارة‬‫األصول‬
A.11
‫في‬ ‫التحكم‬‫الوصول‬
A.12
‫نظم‬ ‫اقتناء‬‫تطويرها‬ ،
‫وصيانتها‬
A.13
‫إدارة‬‫الحوادث‬
‫األمنية‬
A.14
‫استمرارية‬ ‫إدارة‬
‫األعمال‬
A.6
‫أمن‬ ‫تنظيم‬‫المعلومات‬
A.9
‫األمن‬‫المادي‬
‫والبيئي‬
A.10
‫وإدارة‬ ‫االتصاالت‬
‫العمليات‬
A.15
‫االمتثال‬

97. ISO 27001 Annex A (normative)
A.5 Security policy (1/2)
A.6 Organization of information security (2/11)
A.7 Asset management (2/5)
A.8 Human resources security (3/9)
A.9 Physical and environmental security (2/13)
A.10 Communications and operations management (10/32)
A.11 Access control (7/25)
A.12 Information systems acquisition, development and maintenance
(6/16)
A.13 Information security incident management (2/5)
A.14 Business continuity management (1/5)
A.15 Compliance (3/10)
Total
39 control objectives
133 controls

98. ‫ايزو‬27001‫أ‬ ‫الملحق‬(‫المعيارية‬)
A.5 Security policy (1/2)
A.6 Organization of information security (2/11)
A.7 Asset management (2/5)
A.8 Human resources security (3/9)
A.9 Physical and environmental security (2/13)
A.10 Communications and operations management (10/32)
A.11 Access control (7/25)
A.12 Information systems acquisition, development and maintenance
(6/16)
A.13 Information security incident management (2/5)
A.14 Business continuity management (1/5)
A.15 Compliance (3/10)
5/14/2014
‫المجموع‬
39l‫كونترول‬ ‫موضوع‬
133‫كونترول‬

99. 1. Security Policy
• Security Policy
Single Policy for Entire
Organisation & manage-
mental Commitment
Objectives
Achieve High level of
confidentiality , Data
integrity and Protection
Commitment
Acceptable ‘ USE’ Policy
for Employees, Users and
Management
Scope

100. 1.‫األمن‬ ‫سياسة‬
•‫األمن‬ ‫سياسة‬
5/14/2014
‫واحدة‬ ‫سياسة‬‫للمصلحه‬‫بأكملها‬
‫وإدارة‬‫االلتزامات‬ ‫جميع‬
‫االهداف‬
‫السرية‬ ‫من‬ ‫عال‬ ‫مستوى‬ ‫تحقيق‬
‫البيانات‬ ‫وسالمة‬‫وحمايتها‬
‫االلتزام‬
‫للموظ‬ ‫المقبول‬ ‫االستخدام‬ ‫سياسة‬‫فين‬
‫والمستخدمين‬‫واإلدارة‬
‫العمل‬ ‫نطاق‬

101. 2. Organization of Information Security
Security Organisation
Assignments of roles
according to the area of
Professional Practice
Leadership
Chief Information Security
Officer (CISO)
Security Group Leader(s)
Security Teams
Incident Response Team
Change Control Team
Disaster Recovery Team
Responsibilities

102. 2.‫أمن‬ ‫تنظيم‬‫المعلومات‬
‫تنظيم‬‫األمن‬
5/14/2014
‫لمجال‬ ‫وفقا‬ ‫األدوار‬ ‫تعيينات‬
‫المهنية‬ ‫الممارسة‬
‫القيادة‬
‫المعلوم‬ ‫ألمن‬ ‫التنفيذي‬ ‫الرئيس‬‫ات‬
(CISO)
‫األمنية‬ ‫المجموعة‬ ‫رئيس‬
‫األمن‬ ‫فرق‬
‫للحوادث‬ ‫االستجابة‬ ‫فريق‬
‫التغيير‬ ‫مراقبة‬ ‫فريق‬
‫فريق‬‫ا‬‫لتعافي‬‫من‬‫الكوارث‬
‫المسؤوليات‬
‫مثال‬

103. 3. Asset Management
Asset Classification
& Control
Electronic Tags on all
Assets, Barcodes and
Database management
Inventory Assignment of Assets
controller, Custodianship of
assets under use.
Protection
Assets location, ownership
and regular inventory audit
internally, externally
Ownership

104. 3.‫األصول‬ ‫إدارة‬
‫تصنيف‬‫والتحكم‬ ‫األصول‬
5/14/2014
‫البطاقات‬‫جمي‬ ‫على‬ ‫اإللكترونية‬‫ع‬
،‫الموجودات‬‫ا‬ ‫الرموز‬ ‫شريط‬‫وإدارة‬
‫البيانات‬ ‫قواعد‬
‫الجرد‬
‫األصول‬ ‫مراقب‬ ‫تعيين‬‫و‬‫حراسة‬
‫تستخدم‬ ‫التي‬ ‫األصول‬
‫الحماية‬
‫المخزونا‬ ،‫وملكيتها‬ ‫األصول‬ ‫موقع‬‫ت‬
‫والتدقيق‬ ‫العادية‬‫خارجيا‬ ،‫داخليا‬
‫الملكية‬
‫امثلة‬

105. Assets Protection

106. ‫حماية‬‫األصول‬
5/14/2014

107. 4. Human Resource Security
HR Security
Security assignment as add-
on role for all employees
Job descriptions Police clearance for personal
character check before hiring
employees
Security training
Handing over security policy,
awareness training & type of
response reporting
Recruitment screening

108. 4.‫البشرية‬ ‫الموارد‬ ‫األمن‬
‫البشرية‬ ‫الموارد‬ ‫امن‬
5/14/2014
‫جميع‬ ‫مهام‬ ‫الى‬ ‫مضافة‬ ‫االمن‬ ‫مهمة‬
‫الموظفين‬
‫وصف‬‫الوظائف‬
‫الوظا‬ ‫على‬ ‫المتقدمين‬ ‫تاريخ‬ ‫فحص‬‫ئف‬
‫توظيفهم‬ ‫قبل‬ ‫االمنية‬ ‫الجهات‬ ‫من‬
‫األمني‬ ‫التدريب‬
‫تسليم‬،‫األمنية‬ ‫السياسات‬‫والتدر‬‫يب‬
‫والتوعية‬‫للبالغات‬ ‫واالستجابة‬
‫التوظيف‬ ‫فحص‬
‫مثال‬

109. HR Security Archive

110. ‫أرشيف‬‫البشرية‬ ‫الموارد‬ ‫األمن‬
5/14/2014

111. 5. Physical & environmental Security
Physical & environmental
Security
Setting up the Levels of
Access ,classifying area of
operations in groups
Access control Biometric appliances,
Security Guards, Proximity
card and Visitor Badges
Surveillance
Centrally Controlled
Surveillance Cameras
CTVs
Authorisation

112. 5.‫والبيئي‬ ‫المادي‬ ‫األمن‬
‫األمن‬‫والبيئي‬ ‫المادي‬
5/14/2014
‫وتصنيف‬ ‫الدخول‬ ‫مستويات‬ ‫إعداد‬
‫العمليات‬ ‫منطقة‬‫الى‬‫مجموعات‬
‫في‬ ‫التحكم‬‫الوصول‬
،‫البصمة‬ ‫أجهزة‬‫بطاقة‬ ،‫األمن‬ ‫حراس‬
‫بطاقات‬ ‫و‬ ‫االلكترونية‬ ‫الدخول‬
‫الزوار‬
‫مراقبة‬
‫مركزيا‬ ‫التحكم‬‫بكاميرات‬‫المراقب‬‫ة‬
CCTVS
‫الترخيص‬
‫امثلة‬

113. Security Surveillance Tools

114. ‫األمن‬ ‫مراقبة‬ ‫أدوات‬
5/14/2014

115. 6. Communication and operations
Management
Procedures that answer!!!
“What to do when the
incident occurs?”
Operating procedures Separation of duties in the
tasks of employees “ Who
does what”
Capacity planning
Regular monitoring on
systems resources and
bandwidth in use
Assignment of tasks
Communication and
operations Management

116. 6.‫وعمليات‬ ‫االتصاالت‬ ‫إدارة‬
5/14/2014
‫التي‬ ‫اإلجراءات‬‫تجيب‬" !‫ع‬ ‫تفعل‬ ‫ماذا‬‫ند‬
‫الحادث؟‬ ‫حدوث‬"
‫التشغيل‬ ‫إجراءات‬‫الواجبات‬ ‫بين‬ ‫الفصل‬‫و‬‫الموظف‬ ‫مهام‬‫ين‬
"‫ماذا‬ ‫يفعل‬ ‫من‬"
‫على‬ ‫القدرة‬‫التخطيط‬
‫موارد‬ ‫على‬ ‫المنتظم‬ ‫الرصد‬‫النظم‬
‫في‬ ‫الترددي‬ ‫النطاق‬ ‫وعرض‬
‫االستخدام‬
‫المهام‬ ‫توزيع‬
‫إدارة‬‫العمليات‬ ‫و‬ ‫االتصاالت‬
‫مثال‬

117. Hardware Performance
Monitoring

118. ‫األداء‬ ‫مراقبة‬ ‫أجهزة‬
5/14/2014

119. 7. Access Control
Password management, token
of access and single sign in
through LDAP
Restricts users access to
certain network services and
setting up users privileges
Accounting
Maintaining record of
connection time, Number of
transfer and duration
Authorisation
Access Control
Authentication

120. 7.‫الوصول‬ ‫في‬ ‫التحكم‬
5/14/2014
،‫المرور‬ ‫كلمة‬ ‫إدارة‬‫الدخول‬ ‫ورمز‬
‫واحدة‬ ‫وعالمة‬‫من‬‫خالل‬LDAP
‫خدمات‬ ‫إلى‬ ‫المستخدمين‬ ‫وصول‬ ‫يقيد‬
‫امتيازات‬ ‫ووضع‬ ‫معينة‬ ‫شبكة‬
‫للمستخدمين‬
‫المحاسبة‬
،‫االتصال‬ ‫وقت‬ ‫سجل‬ ‫على‬ ‫الحفاظ‬
‫ومدتها‬ ‫التنقالت‬ ‫عدد‬
‫الترخيص‬
‫الوصول‬ ‫في‬ ‫التحكم‬
‫المصادقة‬

121. 8. Information Systems acquisition
Development and Maintenance
Network based IDS
Host based IDS
Data integrity checker
State full packet filtering
Content filtering and proxing
NATing & Routing
Deputing security
guards,duress alarms ,
biometrics & laser lights
Fire walls
System development
and maintenance
Intrusion detection system
Physical security

122. 8.‫والصيانة‬ ‫التنمية‬ ‫اقتناء‬ ‫المعلومات‬ ‫نظم‬
5/14/2014
IDS‫الشبكة‬ ‫في‬ ‫المؤسس‬
IDS‫الهوست‬ ‫في‬ ‫المؤسس‬
‫مدقق‬‫البيانات‬ ‫سالمة‬
‫كاملة‬ ‫تصفية‬‫للحزم‬
‫و‬‫و‬ ‫للمحتوى‬proxing
NATing‫والتوجيه‬
‫جلب‬‫حراس‬‫امن‬‫وأجهزة‬ ،،‫اإلنذار‬
‫والقياسات‬‫اللي‬ ‫وأضواء‬ ‫الحيوية‬‫زر‬
‫النارية‬ ‫الجدران‬
‫وصيانته‬ ‫النظام‬ ‫تطوير‬
‫التسلل‬ ‫كشف‬ ‫نظام‬
‫المادي‬ ‫األمن‬
‫مثال‬

125. 9. Information Security
Incident Management
Incident Reporting Format
Incident Logging
Incident Escalation Procedure
Incident Response Team
Incident Handling
Root Causes
Addressing Reported Incident
Lesson Learnt
Investigation
Incident Management
Incident Reporting
Redresses of Incident

126. 9.‫إدارة‬‫حوادث‬‫المعلومات‬ ‫أمن‬
5/14/2014
‫تنسيق‬‫البالغات‬‫الحوادث‬ ‫عن‬
‫الحادث‬ ‫تسجيل‬
‫الحادث‬ ‫تصعيد‬ ‫إجراءات‬
‫للحوادث‬ ‫االستجابة‬ ‫فريق‬
‫الحادث‬ ‫معالجة‬
‫األسباب‬‫الجذرية‬
‫عنها‬ ‫المبلغ‬ ‫الحوادث‬ ‫معالجة‬
‫منها‬ ‫المستفادة‬ ‫والدروس‬
‫تحقيق‬
‫إدارة‬‫الحوادث‬
‫اإلبالغ‬‫الحوادث‬ ‫عن‬
‫الحوادث‬ ‫ادراك‬
‫مثال‬

127. 10. Business continuity management
Studies of natural disasters e.g.
. Lighting,flood,and
terrorism,bomb threats etc.
Risk assessment Incident response planning,
emergency fallback and
resumption procedures
Execution & recovery
Using remote DRP site
Restoring operations and
recovering data from
backups media
Planning
Business continuity
management

128. 10.‫األعمال‬ ‫استمرارية‬ ‫إدارة‬
5/14/2014
‫مثل‬ ‫الطبيعية‬ ‫الكوارث‬ ‫دراسات‬.
،‫واإلرهاب‬ ،‫والفيضانات‬ ،‫اإلضاءة‬
‫والتهديدات‬‫الخ‬
‫المخاطر‬ ‫تقييم‬‫إجراءات‬‫تخطيط‬‫للحوادث‬ ‫االستجابة‬،
‫حاالت‬ ‫تراجع‬‫الطوارئ‬‫واستئنافها‬
‫واالنتعاش‬ ‫التنفيذ‬
‫باستخدام‬
‫عن‬‫بعد‬
‫البيانات‬ ‫واستعادة‬ ‫العمليات‬ ‫استعادة‬‫من‬
‫النسخ‬‫االحتياطية‬
‫تخطيط‬
‫األعمال‬ ‫استمرارية‬ ‫إدارة‬
‫مثال‬

129. Elements of disasters

130. ‫عناصر‬‫الكوارث‬
5/14/2014

131. 11. Compliance
All procedures ,processes should
be based on “best method
practices” and checked by a
professional body
Pre-audit A third party independent
auditor can check &endorse
the compliance. e.g. BSI Auditors
,ISO Auditors
Maintenance
Audit at regular interval e.g
yearly to maintain the
compliance requirement
External-audit
Compliance

132. 11.‫االمتثال‬
5/14/2014
‫تستند‬ ‫أن‬ ‫ينبغي‬ ،‫اإلجراءات‬ ‫جميع‬‫ع‬ ‫على‬‫مليات‬
"‫أفضل‬ ‫طريقة‬‫الممارسات‬"‫قب‬ ‫من‬ ‫وفحصها‬‫ل‬
‫مهنية‬ ‫هيئة‬
‫التدقيق‬ ‫قبل‬ ‫ما‬A‫مستقل‬ ‫مدقق‬‫ك‬‫ثالث‬ ‫طرف‬‫أن‬ ‫يمكن‬
‫ال‬ ‫في‬ ‫االمتثالية‬ ‫على‬ ‫ويدقق‬ ‫يتحقق‬‫مصلحة‬.
‫المثال‬ ‫سبيل‬ ‫على‬BSI‫مدققي‬،ISO
‫ومدققي‬
‫الصيانة‬
‫منتظمة‬ ‫فترات‬ ‫على‬ ‫المراجعة‬‫سنويا‬
‫للحفاظ‬‫متطلبات‬ ‫على‬‫االمتثالية‬
‫الخارجي‬ ‫التدقيق‬
‫االمتثال‬
‫مثال‬

133. 133
Compliance Review and
Corrective Actions
• Management shall review the organization’s ISMS at planned
intervals (at least once a year) to ensure its continuing suitability,
adequacy and effectiveness.
• This review shall include assessing opportunities for improvement
and the need for changes to the ISMS, including the information
security policy and information security objectives.
• The results of the reviews shall be clearly documented and records
shall be maintained.
• This is carried out during the ‘Check’ phase of the PDCA cycle and
any corrective actions managed accordingly.

134. 5/14/2014
‫الصحية‬ ‫واالجراءات‬ ‫االمتثال‬ ‫مراجعة‬
•‫في‬ ‫المعلومات‬ ‫امن‬ ‫ادارة‬ ‫نظام‬ ‫تراجع‬ ‫ان‬ ‫يجب‬ ‫االدارة‬‫المصلحه‬‫المخطط‬ ‫فترات‬ ‫على‬‫لها‬
(‫مرة‬‫األقل‬ ‫على‬ ‫السنة‬ ‫في‬ ‫واحدة‬)،‫مالءمتها‬ ‫استمرارية‬ ‫لضمان‬‫وفعالي‬ ‫وكفايتها‬‫تها‬.
•‫فرص‬ ‫تقييم‬ ‫االستعراض‬ ‫هذا‬ ‫ويشمل‬‫ه‬ ‫كان‬ ‫واذا‬ ‫المعلومات‬ ‫امن‬ ‫ادارة‬ ‫نظام‬ ‫تحسين‬‫ناك‬
‫حاجة‬‫ف‬ ‫تغييرات‬ ‫إلجراء‬، ‫يها‬‫المعلومات‬ ‫أمن‬ ‫سياسة‬ ‫ذلك‬ ‫في‬ ‫بما‬‫وأهداف‬‫أمن‬
‫المعلومات‬.
•‫نتائج‬‫المراجعة‬‫واضح‬ ‫بشكل‬ ‫موثقة‬ ‫تكون‬ ‫أن‬ ‫يجب‬.‫المحافظة‬ ‫ويجب‬‫على‬‫السج‬‫الت‬.
•‫مرحلة‬ ‫خالل‬ ‫من‬ ‫ذلك‬ ‫ويتم‬'‫التحقق‬'‫دورة‬ ‫من‬PDCA‫إلدارتها‬ ‫تصحيحية‬ ‫إجراءات‬ ‫وأية‬
‫لذلك‬ ‫وفقا‬.

135. 135
Pre-Certification
Assessment
• Prior to the external audit the information security adviser should
carry out a comprehensive review of the ISMS and SOA.
• No audit can take place until sufficient time has passed for the
organization to demonstrate compliance with both the full PDCA
cycle and with clause 8 of ISO 27001, the requirement for continual
improvement.
• Auditors will be looking for evidence that the ISMS is continuing to
improve, not merely that it has been implemented.

136. 5/14/2014
‫الشهادة‬ ‫قبل‬ ‫ما‬ ‫تقييم‬
•‫الخارجية‬ ‫المراجعة‬ ‫قبل‬‫مستشار‬ ‫على‬ ‫ينبغي‬‫المعلومات‬ ‫أمن‬‫إجراء‬‫ش‬ ‫استعراض‬‫امل‬
‫لل‬ISMS‫وال‬SOA.
•‫المراجعة‬ ‫تتم‬ ‫أن‬ ‫يمكن‬ ‫ال‬‫حتى‬‫تأخذ‬‫المصلحه‬‫الكافي‬ ‫وقتها‬‫التطابق‬ ‫إلثبات‬‫م‬‫دورة‬ ‫كل‬ ‫ع‬
PDCA‫الكامل‬‫والبند‬8‫من‬ISO 27001،‫للتحسين‬ ‫ومتطلب‬‫المستمر‬.
•‫سيبحثون‬ ‫المدققون‬‫أن‬ ‫على‬ ‫أدلة‬ ‫عن‬ISMS‫مستمرة‬‫التحسن‬ ‫في‬‫وليس‬ ،‫فقط‬‫تم‬ ‫قد‬ ‫أنه‬
‫تنفيذه‬.

137. 137
Certification Audit
Certification involves the assessment of an organization’s ISMS. ISMS certification
ensures that the organization has undertaken a risk assessment and has identified and
implemented a system of management controls appropriate to the information security
needs of the business.
Evidence that an organization is conforming to the Standard, and any supplementary
documentation, will be presented in the form of a certification document or certificate.
Certification bodies shall need to ensure itself that the organization’s information
security risk assessment properly reflects its business activities and extends to the
boundaries and interfaces of its activities as defined in the Standard.
Certification bodies should confirm that this is reflected in the organization’s risk
treatment plan and its Statement of Applicability.

138. 5/14/2014
‫التدقيق‬ ‫شهادة‬
‫تشتمل‬ ‫الشهادة‬‫تقييم‬ ‫على‬‫المعلومات‬ ‫امن‬ ‫ادارة‬ ‫نظام‬‫للمص‬‫لحه‬.‫و‬
‫الشهادة‬ISMS‫تضمن‬‫أن‬‫المصلحه‬‫للمخاطر‬ ‫تقييما‬ ‫أجرت‬
‫ونفذت‬ ‫وحددت‬‫الية‬‫الحتياج‬ ‫المناسبة‬ ‫اإلدارية‬ ‫الضوابط‬ ‫من‬‫ات‬
‫المعلومات‬ ‫أمن‬‫في‬‫المصلحه‬.
‫مطابقة‬ ‫غير‬ ‫منظمة‬ ‫أن‬ ‫على‬ ‫دليل‬‫للمعايير‬‫اية‬ ‫او‬‫وثائق‬‫إض‬،‫افية‬
‫الشهادة‬ ‫أو‬ ‫التصديق‬ ‫وثيقة‬ ‫شكل‬ ‫في‬ ‫وستقدم‬.
‫تحتاج‬ ‫التصديق‬ ‫هيئات‬‫ا‬ ‫لضمان‬‫ن‬‫تقييم‬‫مخاطر‬‫المعل‬ ‫أمن‬‫ومات‬
‫للمصلحه‬‫أنشطتها‬ ‫صحيح‬ ‫بشكل‬ ‫يعكس‬‫وتمتد‬‫و‬ ‫حدود‬ ‫إلى‬‫اجهات‬
‫المعيار‬ ‫في‬ ‫المحدد‬ ‫النحو‬ ‫على‬ ‫أنشطتها‬.

139. Informal / Option Pre-Assessment
Stage 1 Documentation Review
Stage 2 Onsite Audit
Award
Combine or Joint Audit
Surveillance (V2)
Surveillance (V3)
Surveillance (V4)Surveillance (V5)
Surveillance (V6)
Renewal
Close Out
Recommend
Major N/C
Gap Analysis
- Status of implementation
- Option, not mandatory
- Processes not fully covered
- Duration by request
Audit Process Flow
Formal
Requirement
Stage 1
- SOA
- Security Policy /
Objectives
- Security Manual / SOPs
- Risk Assessment Report
- Treatment Plan
- Countermeasures
- Residual Risks
- BCM / BCPs
Stage 2
- Full process & clauses
- Compliance of
requirements
- Process approach
- Sample technique
- Evidence of operation of
house rules
Onsite Surveillances
- Prove continual effectiveness
- Combine or joint audit

140. Informal / Option
‫التقييم‬ ‫قبل‬ ‫ما‬
Award
Combine or Joint Audit
Surveillance (V2)
Surveillance (V3)
Surveillance (V4)Surveillance (V5)
Surveillance (V6)
Renewal
Close Out
Recommend
Major N/C
Gap Analysis
- Status of implementation
- Option, not mandatory
- Processes not fully covered
- Duration by request
Audit Process Flow
5/14/2014
Formal
Requirement
Stage 1
- SOA
- Security Policy /
Objectives
- Security Manual / SOPs
- Risk Assessment Report
- Treatment Plan
- Countermeasures
- Residual Risks
- BCM / BCPs
Stage 2
- Full process & clauses
- Compliance of
requirements
- Process approach
- Sample technique
- Evidence of operation of
house rules
‫الموقع‬ ‫في‬ ‫المراقبات‬
-‫مستمرة‬ ‫فعالية‬ ‫أثبت‬
-‫أو‬ ‫التدقيق‬ ‫بين‬ ‫الجمع‬‫مشتركة‬
‫المرحلة‬1‫الوثائق‬ ‫استعراض‬
‫المرحلة‬2‫الموقع‬ ‫في‬ ‫التدقيق‬

141. 141
Continual Improvement
• The organization shall continually improve the effectiveness of the
ISMS through the use of:
• The information security policy;
• Information security objectives;
• Audit results;
• Analysis of monitored events;
• Corrective and preventive actions;
• Management review.

142. 5/14/2014
‫شهادة‬‫التدقيق‬
•‫على‬ ‫يتعين‬‫المصلحه‬‫تحسين‬ ‫باستمرار‬‫المعلومات‬ ‫امن‬ ‫ادارة‬ ‫نظام‬ ‫فاعلية‬‫خالل‬ ‫من‬
‫استخدام‬:
•‫المعلومات‬ ‫امن‬ ‫سياسة‬
•‫المعلومات‬ ‫امن‬ ‫اهداف‬
•‫التدقيق‬ ‫نتائج‬
•‫رصدها‬ ‫تم‬ ‫التي‬ ‫االحداث‬ ‫تحليل‬
•‫والوقائية‬ ‫التصحيحية‬ ‫اإلجراءات‬‫؛‬
•‫مراجعة‬‫اإلدارة‬.

143. 143
• A - BS ISO/IEC 27001:2005 (ISO 27001) - Information technology - Security
techniques - ISMS Requirements
• B - BS ISO/IEC 27002:2005 (ISO 27002) - Information technology - Security
techniques - Code of practice for Information Security Management
• C - Alan Calder/Steve Watkins (2007) - IT Governance – A Manager’s Guide
to Data Security and BS 7799/ ISO 17799 (3rd Edition) - Kogan Page
Publishing
References

144. 5/14/2014
• A - BS ISO/IEC 27001:2005 (ISO 27001) - Information technology - Security
techniques - ISMS Requirements
• B - BS ISO/IEC 27002:2005 (ISO 27002) - Information technology - Security
techniques - Code of practice for Information Security Management
• C - Alan Calder/Steve Watkins (2007) - IT Governance – A Manager’s Guide
to Data Security and BS 7799/ ISO 17799 (3rd Edition) - Kogan Page
Publishing
‫المراجع‬

145. Q & A
Thank You

146. ‫األسئلة‬
‫لكم‬ ‫شكرا‬