KASYS ISMS intro.

KASYSKarbord System engineering group co.
‫سدید‬‫م‬‫ت‬‫س‬‫ی‬‫س‬‫ارربد‬‫ک‬‫ی‬‫س‬‫ند‬‫مه‬‫روه‬‫گ‬
(‫س‬‫ی‬‫س‬‫ا‬‫ک‬)
‫شماست‬ ‫فردای‬ ‫فرصت‬ ‫امروز‬ ‫بصیرت‬Today’s Insight is Tomorrow's Opportunity
Introduction to ISMS
www.Kasys.ir | Info@Kasys.ir | Tel : 88545124-77642966| Fax : 88542264-77643967

2© Kasys Co. | Info@Kasys.ir | www.Kasys.ir | Tel : 88545124-77642966 | Fax : 88542264-77643697 | 2014 2
‫سیستم‬ ‫کاربرد‬ ‫مهندسی‬ ‫گروه‬ ‫معرفی‬(‫کاسیس‬)
•‫سال‬ ‫در‬ ‫سيستم‬ ‫کاربرد‬ ‫مهندسي‬ ‫شرکت‬1387‫های‬ ‫حوزه‬ ‫در‬ ‫را‬ ‫خود‬ ‫فعاليت‬ ‫و‬ ‫گرديده‬ ‫تأسيس‬
،‫نمود‬ ‫آغاز‬ ‫اطالعات‬ ‫فناوری‬ ‫مختلف‬ ‫های‬ ‫بخش‬ ‫در‬ ‫مميزی‬ ‫و‬ ‫مشاوره‬ ،‫آموزشي‬ ‫خدمات‬ ‫ارائه‬ ‫مختلف‬
•‫ش‬ ،‫استراتژيک‬ ‫سطح‬ ‫در‬ ‫اطالعات‬ ‫فناوری‬ ‫مختلف‬ ‫خدمات‬ ‫به‬ ‫مشتريان‬ ‫روزافزون‬ ‫نياز‬ ‫به‬ ‫توجه‬ ‫با‬‫رکت‬
‫از‬ ‫مختلف‬ ‫های‬‫حوزه‬ ‫در‬ ‫اطالعات‬ ‫فناوری‬ ‫مشاوره‬ ‫با‬ ‫مرتبط‬ ‫های‬‫فعاليت‬ ‫سيستم‬ ‫کاربرد‬ ‫مهندسي‬‫قبيل‬
•‫اطالعات‬ ‫فناوری‬ ‫استراتژيک‬ ‫برنامه‬ ‫تهيه‬(ITSP)،
•‫اطالعات‬ ‫فناوری‬ ‫جامع‬ ‫ريزی‬ ‫برنامه‬(ITMP)،
•‫بر‬ ‫مبتني‬ ‫اطالعات‬ ‫امنيت‬ ‫مديريت‬ ‫سيستم‬ISMS) ISO27001)،
•‫بر‬ ‫مبتني‬ ‫اطالعات‬ ‫فناوری‬ ‫خدمات‬ ‫مديريت‬ ‫سيستم‬(ITSM) ISO20000 , ITIL،
•‫اطالعات‬ ‫فناوری‬ ‫راهبری‬ ‫چارچوب‬COBIT،ISO38500
•‫مبتني‬ ‫کار‬ ‫و‬ ‫کسب‬ ‫تداوم‬ ‫مديريت‬(BCM) ISO22301 , ISO25999،
•‫اساس‬ ‫بر‬ ‫داده‬ ‫مراکز‬ ‫مميزی‬ ‫و‬ ‫طراحي‬ ،‫مشاوره‬TIA942 , BICSI
•‫و‬...
•‫راست‬ ‫در‬ ‫و‬ ‫مشتريان‬ ‫به‬ ‫خدمات‬ ‫ارائه‬ ‫سبد‬ ‫تکميل‬ ‫برای‬ ‫و‬ ‫برگزيده‬ ‫اصلي‬ ‫فعاليت‬ ‫عنوان‬ ‫به‬ ‫را‬‫ايجاد‬ ‫ای‬
‫است‬ ‫افزوده‬ ‫خود‬ ‫خدمات‬ ‫مجموعه‬ ‫به‬ ‫نيز‬ ‫را‬ ‫مرتبط‬ ‫افزارهای‬ ‫نرم‬ ‫و‬ ‫تجهيزات‬ ‫ارائه‬ ،‫خاطر‬ ‫اطمينان‬..

‫معرفی‬:‫سیس‬ ‫کاربرد‬ ‫مهندسی‬ ‫گروه‬ ‫تجاری‬ ‫همکاران‬‫تم‬
•‫سال‬ ‫در‬ ‫سيستم‬ ‫کاربرد‬ ‫مهندسي‬ ‫شرکت‬1391‫مجوز‬ ‫اخذ‬ ‫به‬ ‫موفق‬‫آموزش‬‫از‬
‫اطالعات‬ ‫فناوری‬ ‫سازمان‬(ITC.IR)‫اطالعات‬ ‫امنيت‬ ‫مديريت‬ ‫سيستم‬ ‫حوزه‬ ‫در‬
ISMS‫گرديد‬

•‫سال‬ ‫در‬ ‫سيستم‬ ‫کاربرد‬ ‫مهندسي‬ ‫شرکت‬1392‫مجوز‬ ‫اخذ‬ ‫به‬ ‫موفق‬‫خدمات‬ ‫ارائه‬
‫مشاوره‬‫اطالعات‬ ‫فناوری‬ ‫سازمان‬ ‫از‬(ITC.IR)‫امنيت‬ ‫مديريت‬ ‫سيستم‬ ‫حوزه‬ ‫در‬
‫اطالعات‬ISMS‫گرديد‬

‫مجوز‬ ‫اخذ‬ ‫به‬ ‫موفق‬ ‫سيستم‬ ‫کاربرد‬ ‫مهندسي‬ ‫شرکت‬‫موسسه‬ ‫های‬ ‫دوره‬ ‫برای‬ ‫آموزش‬
‫المللي‬ ‫بين‬ ‫آموزشي‬PECB‫نماينده‬ ‫تنها‬ ‫عنوان‬ ‫به‬ ً‫ا‬‫رسم‬ ‫و‬ ‫گرديد‬ ‫ايران‬ ‫در‬‫در‬ ‫ارگان‬ ‫اين‬
‫گرديد‬ ‫معرفي‬ ‫ايران‬

‫معرفی‬:‫کاسیس‬ ‫مشتریان‬
‫نمود‬ ‫اشاره‬ ‫زير‬ ‫موارد‬ ‫به‬ ‫توان‬ ‫مي‬ ‫سيستم‬ ‫کاربرد‬ ‫مهم‬ ‫مشتريان‬ ‫جمله‬ ‫از‬:
•‫انفورماتيک‬ ‫خدمات‬ ،‫تک‬ ‫آسيا‬ ،‫اول‬ ‫همراه‬‫بهستان‬ ،‫پر‬ ‫شرکت‬ ،‫ملت‬ ‫بانک‬ ،‫رايان‬‫دازش‬
‫ش‬ ، ‫ايرانيان‬ ‫پاسارگاد‬ ‫ارتباطات‬ ،‫فجر‬ ‫پتروشيمي‬ ،‫پرداز‬ ‫رويال‬ ، ‫عالئم‬ ‫هوشمند‬‫رکت‬
‫فناور‬ ‫و‬ ‫پژوهش‬ ‫مرکز‬ ، ‫گستر‬ ‫رايانه‬ ‫رهياب‬ ،‫اطالعات‬ ‫فناوری‬ ‫سازمان‬ ،‫موتور‬ ‫مگا‬‫ی‬
‫س‬ ‫لوله‬ ، ‫ميانه‬ ‫خاور‬ ‫واتر‬ ‫تايد‬ ، ‫اصفهان‬ ‫پرديس‬ ‫اطالعات‬ ‫فناوری‬ ،‫پتروشيمي‬‫ازی‬
‫مشهد‬ ‫شهرداری‬ ،‫جم‬ ‫کياناتک‬ ‫شرکت‬ ،‫هيرساويژن‬ ،‫شريف‬ ‫گستر‬ ‫افزار‬ ‫امن‬ ،‫اهواز‬،
‫ژنرات‬ ‫پارس‬ ،‫ايرانيان‬ ‫اعتماد‬ ‫اعتباری‬ ‫و‬ ‫مالي‬ ‫موسسه‬ ،‫تهران‬ ‫انفورماتيک‬ ‫خدمات‬‫مپنا‬ ‫ور‬
‫موسسه‬ ، ‫قم‬ ‫استان‬ ‫مخابرات‬ ،‫اينترنتي‬ ‫جرايم‬ ‫دادسرای‬ ،‫کشاورزی‬ ‫جهاد‬ ‫وزارت‬ ،
‫ايس‬ ‫شرکت‬ ،‫تعاون‬ ‫توسعه‬ ‫بانک‬ ،‫مرکزی‬ ‫بانک‬ ،‫نيرو‬ ‫وزارت‬ ،‫تبيان‬ ‫فرهنگي‬‫شرکت‬ ،‫اکو‬
‫ساز‬ ،‫ايمن‬ ‫آشنا‬ ‫شرکت‬ ،‫پارسيان‬ ‫گاز‬ ‫پااليشگاه‬ ‫شرکت‬ ،‫کيش‬ ‫اول‬ ‫پرداخت‬‫صدا‬ ‫مان‬
‫استانداری‬ ،‫دارو‬ ‫البرز‬ ‫شرکت‬ ،‫افرانت‬ ‫شرکت‬ ، ‫ايران‬ ‫اسالمي‬ ‫جمهوری‬ ‫سيمای‬ ‫و‬
‫و‬ ‫زيرساخت‬ ‫ارتباطات‬ ‫،شرکت‬ ، ‫اجتماعي‬ ‫تامين‬ ‫سازمان‬ ،‫بوشهر‬..

‫مدرس‬ ‫معرفی‬:‫نیا‬ ‫طی‬ ‫رضا‬
•‫سيس‬ ‫کاربرد‬ ‫مهندسي‬ ‫شرکت‬ ‫عامل‬ ‫مدير‬ ‫و‬ ‫موسس‬‫تم‬
•‫از‬ ‫بيش‬15، ‫مشاوره‬ ‫های‬ ‫حوزه‬ ‫در‬ ‫فعاليت‬ ‫سابقه‬ ‫سال‬
‫مشاوره‬ ‫و‬ ‫اطالعات‬ ‫فناوری‬ ‫با‬ ‫مرتبط‬ ‫مميزی‬ ‫و‬ ‫آموزش‬
‫مديريت‬
•‫اطالعات‬ ‫فناوری‬ ‫مديريت‬ ‫ارشد‬ ‫کارشناسي‬
•‫مديريت‬ ‫مشاوره‬ ‫ارشد‬ ‫کارشناسي‬
•‫رسمي‬ ‫سرمميز‬ISO27001‫از‬BSI
•‫رسمي‬ ‫سرمميز‬ISO27001‫از‬PECB
•‫رسمي‬ ‫سرمميز‬ISO9001‫از‬PECB
•‫تائيد‬ ‫مورد‬ ‫سرمميز‬QA, DQS,CIS,
•‫ايران‬ ‫مديريت‬ ‫مشاوران‬ ‫انجمن‬ ‫عضو‬
•‫رايانه‬ ‫صنفي‬ ‫نظام‬ ‫سازمان‬ ‫عضو‬
•‫و‬ ‫اطالعات‬ ‫فناوری‬ ‫با‬ ‫مرتبط‬ ‫مختلف‬ ‫های‬ ‫دوره‬ ‫مدرس‬
‫موسس‬ ،،‫صنعتي‬ ‫مديريت‬ ‫سازمان‬ ‫در‬ ‫اطالعات‬ ‫امنيت‬‫ه‬
BRS‫موسسه‬ ،SGS‫موسسه‬ ،TUV‫موسسه‬ ،
Mahan‫موسسه‬ ،Alliance‫و‬...
‫فعالیت‬ ‫سوابق‬
•‫اطالعات‬ ‫فناوری‬ ‫استراتژيک‬ ‫ريزی‬ ‫برنامه‬ITSP,
ITMP
•‫سازمان‬ ‫فرايندهای‬ ‫بازمهندسي‬BPR
•‫م‬ ‫با‬ ‫ارتباط‬ ‫مديريت‬ ‫سيستم‬ ‫سازی‬‫پياده‬ ‫و‬ ‫مشاوره‬‫شتری‬
CRM
•‫سازما‬ ‫منابع‬ ‫مديريت‬ ‫سيستم‬ ‫سازی‬‫پياده‬ ‫و‬ ‫مشاوره‬‫ني‬
ERP
•‫سازماني‬ ‫جامع‬ ‫سيستم‬ ‫سازی‬‫پياده‬ ‫و‬ ‫مشاوره‬Total
Solution
•‫اطال‬ ‫امنيت‬ ‫مديريت‬ ‫سيستم‬ ‫سازی‬ ‫پياده‬ ‫و‬ ‫مشاوره‬‫عات‬
ISMS
•‫اطالعات‬ ‫امنيت‬ ‫مديريت‬ ‫سيستم‬ ‫داخلي‬ ‫مميزی‬
•‫فناو‬ ‫خدمات‬ ‫مديريت‬ ‫سيستم‬ ‫سازی‬ ‫پياده‬ ‫و‬ ‫مشاوره‬‫ری‬
‫اطالعات‬SMS
•‫فناوری‬ ‫خدمات‬ ‫مديريت‬ ‫سيستم‬ ‫داخلي‬ ‫مميزی‬
‫اطالعات‬SMS

‫مدرس‬ ‫معرفی‬:‫نیا‬ ‫طی‬ ‫رضا‬

‫قرن‬ ‫بیسوادان‬21‫نیستند‬ ‫نوشتن‬ ‫و‬ ‫خواندن‬ ‫به‬ ‫قادر‬ ‫که‬ ‫نیستند‬ ‫کسانی‬‫که‬ ‫هستند‬ ‫کسانی‬ ‫بلکه‬‫توانند‬ ‫نمی‬
‫در‬ ، ‫بیاموزند‬ ‫دوباره‬ ‫و‬ ‫بریزند‬ ‫دور‬ ‫را‬ ‫کهنه‬ ‫های‬ ‫آموخته‬‫آموخته‬ ‫كه‬ ‫ای‬‫زمانه‬ ‫و‬ ‫اطالعات‬ ‫انفجار‬ ‫عصر‬‫ها‬
‫اس‬ ‫ما‬ ‫یادگیری‬ ‫سرعت‬ ‫بلكه‬ ،‫نیست‬ ‫ما‬ ‫های‬‫دانسته‬ ‫میزان‬ ‫است‬ ‫مهم‬ ‫آنچه‬ ،‫شوند‬‫می‬ ‫كهنه‬ ‫سرعت‬ ‫به‬‫ت‬.
‫تافلر‬ ‫آلوین‬

•‫بين‬ ‫ارز‬ ‫ارزشترين‬ ‫با‬ ،‫اطالعات‬ ‫دنبال‬ ‫به‬ ‫کالهبرداران‬ ، ‫مجرمان‬ ، ‫امروز‬ ‫دنيای‬ ‫در‬
‫نوابغ‬ ‫افراد‬ ‫اين‬ ‫که‬ ‫است‬ ‫اين‬ ‫است‬ ‫دهنده‬ ‫هشدار‬ ‫آنچه‬ ، ‫هستند‬ ‫المللي‬IT‫نيستند‬
‫رسند‬ ‫مي‬ ‫خود‬ ‫اهداف‬ ‫به‬ ‫ها‬ ‫روش‬ ‫ترين‬ ‫ساده‬ ‫با‬ ‫که‬ ‫هستند‬ ‫معمولي‬ ‫مجرمان‬ ‫بلکه‬
•‫آمريکا‬ ‫فدرال‬ ‫تجارت‬ ‫کميته‬(2010)

‫مدیریت‬ ‫سیستمهای‬ ‫به‬ ‫نیازمند‬ ‫سازمانهای‬
•‫دسته‬،‫اول‬‫صنايعي‬‫مي‬‫باشند‬‫که‬‫به‬‫دليل‬‫توليد‬‫و‬‫ارائه‬‫خدمات‬‫با‬
‫ريسک‬‫باال‬(‫خطرات‬‫زيست‬‫محيطي،خطرات‬‫ايمني‬،‫آسيبهای‬‫تجار‬‫ی‬،
‫اطالعات‬‫محرمانه‬‫نظامي‬،‫سياسي‬‫و‬....)‫نيازمند‬‫زير‬‫ساختهای‬‫خاص‬‫ي‬
‫برای‬‫حداقل‬‫سازی‬‫اين‬‫خطرها‬‫ميباشند‬.‫سازمانهای‬‫توليدی‬،‫دارو‬
‫موادغذايي‬‫و‬‫بهداشتي‬،‫صنايع‬‫نظامي‬‫و‬...‫در‬‫اين‬‫گروه‬‫قرار‬‫ميگير‬‫ند‬.
•‫دسته‬‫دوم‬،‫صنايع‬‫و‬‫کسب‬‫وکارهايي‬‫ميباشند‬‫که‬‫ماهيت‬‫آنها‬‫نياز‬‫به‬
‫پاسخگويي‬‫سريع‬‫به‬‫مشتريان‬‫بوده‬‫وفاصله‬‫زمان‬‫توليد‬‫و‬‫ارائه‬‫خ‬‫دمات‬‫تا‬
‫زمان‬‫مصرف‬‫محصوالت‬‫بسيار‬‫کوتاه‬‫ميباشد‬‫و‬‫لذا‬‫رضايت‬‫مشتری‬‫بايد‬‫در‬
‫محل‬‫توليد‬‫تامين‬‫گردد‬.‫سازمانهايي‬‫مانند‬‫هتل‬‫ها‬،‫بنگاههای‬‫حمل‬‫و‬
‫نقل‬،‫رستورانها‬‫و‬...‫در‬‫اين‬‫گروه‬‫قرار‬‫ميگيرند‬.

‫مدیریت‬ ‫سیستمهای‬ ‫به‬ ‫نیازمند‬ ‫سازمانهای‬
•‫تته‬‫ت‬‫دس‬‫تداوم‬‫ت‬‫ت‬ ‫ترای‬‫ت‬‫ب‬ ‫ته‬‫ت‬‫ک‬ ‫تند‬‫ت‬‫ميباش‬ ‫تايي‬‫ت‬‫وکاره‬ ‫تب‬‫ت‬‫کس‬ ‫و‬ ‫تنايع‬‫ت‬‫ص‬ ، ‫توم‬‫ت‬‫س‬
‫در‬ ‫و‬ ‫ختود‬ ‫کارفرمايتان‬ ‫و‬ ‫مشتتريان‬ ‫بتا‬ ‫خصتوا‬ ‫بته‬ ‫تجتاری‬ ‫شراکتهای‬
‫مشتتری‬ ‫و‬ ‫منتدی‬ ‫سيستتم‬ ‫اثبتات‬ ‫به‬ ‫ملزم‬ ‫منعقده‬ ‫قراردادهای‬ ‫چارچوب‬
‫ميباشت‬ ‫الزم‬ ‫الزامات‬ ‫ساير‬ ‫نيز‬ ‫و‬ ‫خدمات‬ ‫و‬ ‫محصوالت‬ ‫کيفيت‬ ‫و‬ ‫گرايي‬‫ند‬.
‫و‬ ‫خودرو‬ ‫قطعات‬ ‫کنندگان‬ ‫تامين‬ ، ‫نفتي‬ ‫پيمانکاران‬...‫گرو‬ ‫اين‬ ‫در‬‫قترار‬ ‫ه‬
‫ميگيرند‬.
•‫دسته‬‫ميباشن‬ ‫پيشرو‬ ‫کارهای‬ ‫و‬ ‫کسب‬ ‫و‬ ‫موسسات‬ ‫و‬ ‫شرکتها‬ ، ‫چهارم‬‫که‬ ‫د‬
‫بت‬ ‫النفسه‬ ‫في‬ ‫و‬ ‫برده‬ ‫پي‬ ‫مديريتي‬ ‫سيستمهای‬ ‫کاربری‬ ‫اهميت‬ ‫به‬‫دنبتال‬ ‫ه‬
‫ميباشند‬ ‫خود‬ ‫سازمانهای‬ ‫در‬ ‫بهبودها‬.

‫گروه‬‫مدیریت‬ ‫های‬ ‫سیستم‬ ‫بندی‬
•‫گروه‬1–‫مديريتي‬ ‫استانداردهای‬:‫تعريت‬ ‫معتبتر‬ ‫مراجتع‬ ‫توستط‬ ‫استتاندارد‬ ‫بصتورت‬ ‫سيستتمها‬ ‫ايتن‬‫ف‬
‫اند‬‫شده‬.‫گواهي‬ ‫آنهتا‬ ‫مجری‬ ‫به‬ ، ‫مربوطه‬ ‫شرايط‬ ‫وجود‬ ‫صورت‬ ‫در‬ ‫و‬ ‫بوده‬ ‫مميزی‬ ‫قابل‬ ‫سيستمها‬ ‫اين‬‫نامته‬
‫ميگيرد‬ ‫تعلق‬.‫مثال‬:
ISO 9001 , ISO 22000 , SA 8000 , ISO/IEC 27001 , ISO/TS 16949
•‫گروه‬2–‫راهنماها‬:‫پيتاده‬ ‫در‬ ‫راهنمتايي‬ ‫ابزارهای‬ ‫عنوان‬ ‫به‬ ‫ها‬ ‫سيستم‬ ‫اين‬‫متورد‬ ‫استتانداردها‬ ‫ستازی‬
‫ستاز‬ ‫پيتاده‬ ، ‫استتقرار‬ ، ‫طراحتي‬ ‫تستهيل‬ ‫در‬ ‫را‬ ‫مهتم‬ ‫امتا‬ ‫تجويزی‬ ‫غير‬ ‫نکاتي‬ ‫و‬ ‫گرفته‬ ‫قرار‬ ‫استفاده‬‫و‬ ‫ی‬
‫ميکنند‬ ‫بيان‬ ‫ها‬ ‫سيستم‬ ‫و‬ ‫استانداردها‬ ‫ارزيابي‬.‫مثال‬:
ISO 10006 , ISO 19011 , ISO 10017 , ISO 27005, ….

‫گروه‬‫مدیریت‬ ‫های‬ ‫سیستم‬ ‫بندی‬
•‫گروه‬3–‫ابزاری‬ ‫مدلهای‬:‫عملک‬ ‫نتايج‬ ‫بهبود‬ ‫ابزارهای‬ ‫عنوان‬ ‫به‬ ‫ها‬ ‫سيستم‬ ‫اين‬‫ردی‬
‫مي‬ ‫گرفته‬ ‫کار‬ ‫به‬ ‫استانداردها‬ ‫استقرار‬ ‫در‬ ‫تسهيل‬ ‫و‬ ‫پشتيباني‬ ‫يا‬ ‫و‬ ‫استانداردها‬‫شوند‬.‫اين‬
‫دارند‬ ‫کاربرد‬ ‫استانداردی‬ ‫الزامات‬ ‫و‬ ‫ها‬ ‫توصيه‬ ‫سازی‬ ‫جاری‬ ‫برای‬ ‫مدلها‬.‫مثال‬:
FMEA , MSA , 5S , TPM ,SPC , …
•‫گروه‬4–‫فلسفي‬ ‫مدلهای‬:‫فلس‬ ‫های‬ ‫پايه‬ ‫و‬ ‫رويکردها‬ ‫عنوان‬ ‫به‬ ‫ها‬ ‫سيستم‬ ‫اين‬‫در‬ ‫في‬
‫ميباشند‬ ‫مستمر‬ ‫بهبود‬ ‫تامين‬ ‫و‬ ‫سازمانها‬ ‫بهسازی‬.‫قاب‬ ‫بعضا‬ ‫سيستمها‬ ‫اين‬‫ارزيابي‬ ‫ل‬
‫ميگيرد‬ ‫تعلق‬ ‫انطباق‬ ‫های‬ ‫تاييديه‬ ‫آنها‬ ‫به‬ ‫و‬ ‫ميباشند‬.‫مانند‬:
TQM , BSC , 6SIGMA, KAIZEN,…

‫رایج‬ ‫استانداردهای‬

‫اطالعات‬ ‫امنیت‬ ‫اهمیت‬ ‫با‬ ‫آشنائی‬
‫بدون‬‫شک‬‫گسترش‬‫و‬‫توسعه‬‫روز‬‫افزون‬‫آوری‬‫فن‬‫ارتباطات‬‫و‬‫اطالعات‬‫و‬
‫همگرا‬‫شدن‬،‫آنها‬‫ظهور‬‫اينترنت‬‫و‬‫ها‬‫رسانه‬‫دليل‬‫توفيقاتي‬‫است‬‫ک‬‫ه‬‫بشر‬
،‫امروزه‬‫شاهد‬‫آن‬‫است‬‫و‬‫موجب‬‫نامگذاری‬‫عصرحاضر‬‫به‬‫عصر‬‫اطالعات‬‫يا‬
‫اينترنت‬‫گرديده‬‫است‬.
‫تفاوت‬‫اين‬‫عصر‬‫با‬‫ساير‬‫اعصار‬‫را‬‫بايستي‬‫در‬‫سرعت‬‫تغييرات‬‫آو‬‫فن‬،‫ها‬‫ری‬‫رشد‬
‫سريع‬‫و‬‫چشمگير‬‫علوم‬‫و‬‫همه‬‫ها‬‫اين‬‫را‬‫بايد‬‫مديون‬‫دسترسي‬‫وسيع‬‫و‬
‫همگاني‬‫به‬‫اطالعات‬‫دانست‬.
• IPV4 : 4.294.967.296
• IPV6 : 340،282،366،920،938،463،463،374،607،431،769،211،456
• 6.17 * 1023 / M2

•‫از‬ ‫بيش‬2‫شود‬‫مي‬ ‫نوشته‬ ‫روز‬ ‫هر‬ ‫بالگ‬ ‫پست‬ ‫ميليون‬!‫حدا‬ ‫تايم‬ ‫مجله‬ ‫در‬ ‫مقدار‬ ‫اين‬ ‫نوشتن‬ ‫برای‬‫قل‬
770‫کشد‬‫مي‬ ‫طول‬ ‫سال‬.
•‫اگر‬‫بود‬ ‫کشور‬ ‫فيسبوک‬.‫بود‬ ‫دنيا‬ ‫بزرگ‬ ‫کشور‬ ‫سومين‬ ‫امروز‬.
•‫در‬‫شود‬‫مي‬ ‫لينکدين‬ ‫وارد‬ ‫جديد‬ ‫کاربر‬ ‫دو‬ ‫ثانيه‬ ‫هر‬!‫از‬ ‫بيش‬ ‫رقم‬ ‫اين‬170‫رسد‬‫مي‬ ‫روز‬ ‫در‬ ‫کاربر‬ ‫هزار‬.
•‫هر‬‫شود‬‫مي‬ ‫زده‬ ‫بوک‬ ‫فيس‬ ‫در‬ ‫اليک‬ ‫ميليارد‬ ‫دو‬ ‫از‬ ‫بيش‬ ‫روز‬!‫گي‬ ‫های‬‫گونه‬ ‫مقدار‬ ‫از‬ ‫بيش‬ ‫عدد‬ ‫اين‬‫اهي‬
‫باشد‬ ‫موجود‬ ‫سياره‬ ‫يک‬ ‫در‬ ‫است‬ ‫ممکن‬ ‫که‬ ‫است‬!
•‫بيش‬‫از‬270‫شود‬‫مي‬ ‫هزينه‬ ‫آنالين‬ ‫دقيقه‬ ‫در‬ ‫دالر‬ ‫هزار‬!
•‫بيش‬‫از‬750‫کنند‬‫مي‬ ‫دنبال‬ ‫را‬ ‫آنالين‬ ‫برند‬ ‫يک‬ ‫حداقل‬ ‫اجتماعي‬ ‫های‬‫شبکه‬ ‫کاربر‬ ‫ميليون‬!‫اين‬‫حداقل‬
‫امريکاست‬ ‫متحده‬ ‫اياالت‬ ‫جمعيت‬ ‫دوبرابر‬.
•‫بيش‬‫د‬ ‫اجتماعي‬ ‫برندهای‬ ‫طريق‬ ‫از‬ ‫را‬ ‫رويدادها‬ ‫که‬ ‫اند‬‫گفته‬ ‫آنالين‬ ‫کاربر‬ ‫ميليارد‬ ‫نيم‬ ‫و‬ ‫يک‬ ‫از‬‫نبال‬
‫کنند‬‫مي‬!‫رقم‬ ‫اين‬20‫است‬ ‫جهان‬ ‫جمعيت‬ ‫درصد‬.
•79‫ک‬ ‫توصيه‬ ‫بار‬ ‫يک‬ ‫حداقل‬ ‫را‬ ‫کنند‬ ‫مي‬ ‫دنبال‬ ‫که‬ ‫برندی‬ ‫محتوای‬ ‫توييتر‬ ‫کاربران‬ ‫از‬ ‫درصد‬‫اند‬‫رده‬!
•‫در‬‫از‬ ‫بيش‬ ‫کاربران‬ ،‫روز‬ ‫هر‬ ‫مجموع‬20‫کنند‬‫مي‬ ‫صرف‬ ‫وقت‬ ‫بوک‬ ‫فيس‬ ‫در‬ ‫سال‬ ‫هزار‬.
•‫مبادالت‬‫مدت‬ ‫ظرف‬ ‫اجتماعي‬ ‫تجارت‬ ‫طريق‬ ‫از‬5‫از‬ ‫بيش‬ ‫به‬ ‫آينده‬ ‫سال‬30‫شود‬‫مي‬ ‫دالر‬ ‫ميليارد‬!

‫سرعت‬ ،‫اطالعات‬ ‫دنيای‬ ‫را‬ ‫امروز‬ ‫دنيای‬ ،‫انديشمندان‬ ‫از‬ ‫برخي‬ ‫همچنين‬
‫اند‬‫دانسته‬ ‫وشتاب‬.
‫دهه‬ ‫ويژگي‬ ‫اگر‬ ‫گيتس‬ ‫بيل‬ ‫قول‬ ‫به‬1980‫دهه‬ ‫و‬ ‫کيفيت‬ ‫به‬ ‫رويکرد‬1990
‫دهه‬ ،‫است‬ ‫بوده‬ ‫فرآيندها‬ ‫مجدد‬ ‫مهندسي‬ ‫دوران‬2000‫دوران‬ ‫بايد‬ ‫را‬
‫دانست‬ ‫شتاب‬.
‫و‬ ‫شده‬ ‫حياتي‬ ‫بسيار‬ ‫ها‬‫سازمان‬ ‫در‬ ‫علم‬ ‫و‬ ‫دانش‬ ،‫اطالعات‬ ‫توليد‬ ‫طرفي‬ ‫از‬
‫باشد‬‫مي‬ ‫ساز‬ ‫سرنوشت‬ ‫بسيار‬ ‫سوم‬ ‫هزاره‬ ‫در‬ ‫آنها‬ ‫از‬ ‫نگهداری‬ ‫و‬ ‫حفظ‬.

‫تشک‬ ‫را‬ ‫سازماني‬ ‫و‬ ‫فردی‬ ‫قدرت‬ ‫های‬‫پايه‬ ‫و‬ ‫آورده‬ ‫فراهم‬ ‫را‬ ‫سرمايه‬ ،‫دانايي‬‫يل‬
‫دهد‬‫مي‬.‫شود‬‫مي‬ ‫برابر‬ ‫دو‬ ‫سال‬ ‫چهار‬ ‫يا‬ ‫سه‬ ‫هر‬ ‫موجود‬ ‫اطالعات‬.
‫رقابتي‬ ‫مزيت‬ ‫کننده‬ ‫تعيين‬ ‫دانش‬ ‫يعني‬ ‫آن‬ ‫از‬ ‫گيری‬‫بهره‬ ‫و‬ ‫اطالعات‬‫جهان‬ ‫در‬
‫است‬.
‫و‬ ‫اطالعات‬ ‫رفتن‬ ‫بين‬ ‫از‬ ‫شخصي‬ ‫موارد‬ ‫در‬ ‫حتي‬ ‫و‬ ‫ها‬ ‫سازمان‬ ‫بعضي‬ ‫در‬ ‫اما‬
‫قاب‬ ‫غير‬ ‫کار‬ ‫نيروی‬ ‫و‬ ‫زمان‬ ‫صرف‬ ‫به‬ ‫منجر‬ ‫اطالعات‬ ‫ديدن‬ ‫آسيب‬ ‫حتي‬‫ل‬
‫ي‬ ‫حيات‬ ‫موارد‬ ‫برخي‬ ‫در‬ ‫حتي‬ ‫و‬ ‫شود‬‫مي‬ ‫آنها‬ ‫به‬ ‫دسترسي‬ ‫جهت‬ ‫تصور‬‫ک‬
‫دهد‬ ‫مي‬ ‫قرار‬ ‫تهديد‬ ‫مورد‬ ‫را‬ ‫سازمان‬.

‫های‬ ‫رمز‬ADOBE(17/08/1392)
•‫به‬ ‫نزديک‬2‫اين‬ ‫از‬ ‫ادوبي‬ ‫کاربری‬ ‫های‬ ‫حساب‬ ‫رفته‬ ‫لو‬ ‫عبور‬ ‫رمزهای‬ ‫از‬ ‫رمز‬ ‫ميليون‬
‫بوده‬ ‫قرار‬:123456
•ً‫ا‬‫حتم‬‫عبور‬ ‫رمز‬ ‫و‬ ‫کاربری‬ ‫شناسه‬ ‫رفتن‬ ‫لو‬ ‫خبر‬ ‫اين‬ ‫از‬ ‫پيش‬38‫کاربری‬ ‫حساب‬ ‫ميليون‬
‫ادوبي‬(Adobe)‫ايد‬ ‫شنيده‬ ‫را‬.‫مشاوره‬ ‫گروه‬ ‫از‬ ،‫عبور‬ ‫رمز‬ ‫امنيت‬ ‫متخصص‬ ‫يک‬ ‫حال‬
،‫استريکچر‬100‫ک‬ ‫منتشر‬ ‫را‬ ‫ادوبي‬ ‫کاربران‬ ‫عبور‬ ‫رمزهای‬ ‫ترين‬ ‫استفاده‬ ‫پر‬ ‫از‬ ‫مورد‬‫رده‬.
‫حدود‬ ‫که‬ ‫شد‬ ‫مشخص‬ ‫ناباوری‬ ‫عين‬ ‫در‬2‫رمز‬ ،‫ادوبي‬ ‫کاربران‬ ‫از‬ ‫تن‬ ‫از‬ ‫ميليون‬
123456‫بودند‬ ‫کرده‬ ‫انتخاب‬ ‫خود‬ ‫برای‬ ‫را‬.
•‫در‬،‫پرکاربرد‬ ‫رمزهای‬ ‫دوم‬ ‫رده‬123456789‫که‬ ‫طوری‬ ‫به‬ ،‫داشت‬ ‫قرار‬500000
‫بودند‬ ‫گذاشته‬ ‫شان‬ ‫کاربری‬ ‫حساب‬ ‫برای‬ ‫را‬ ‫رمز‬ ‫اين‬ ‫کاربر‬.‫های‬ ‫رمز‬password‫و‬
adobe123‫با‬ ‫ترتيب‬ ‫به‬ ‫هم‬350000‫و‬200000‫قرار‬ ‫بعدی‬ ‫های‬ ‫رده‬ ‫در‬ ‫کاربر‬
‫دارند‬

22
•‫شرکت‬«Sophos»‫صفحه‬ ‫يک‬ ،‫کرد‬ ‫اعالم‬ ،‫امنيتي‬ ‫افزارهای‬‫نرم‬ ‫توليدکننده‬ ،
‫هر‬ ‫اينترنتي‬4.5‫ثانيه‬‫از‬ ‫بيش‬ ‫روز‬ ‫هر‬ ‫و‬ ‫گيرد‬‫مي‬ ‫قرار‬ ‫حمله‬ ‫مورد‬ ‫بار‬ ‫يک‬‫ه‬ ‫بيست‬‫زار‬
‫جديد‬ ‫نمونه‬‫شود‬‫مي‬ ‫کشف‬ ‫حمله‬ ‫و‬ ‫نفوذ‬ ‫های‬‫برنامه‬ ‫از‬.
•‫توسط‬ ‫شده‬ ‫آوری‬ ‫جمع‬ ‫اطالعات‬ ‫اساس‬ ‫بر‬‫شرکت‬Symantec‫به‬ ‫نزديک‬ ،60
‫درصد‬‫توسط‬ ‫که‬ ‫هايي‬ ‫سيستم‬ ‫کل‬Stunxnet‫ايران‬ ‫در‬ ‫اند‬ ‫شده‬ ‫واقع‬ ‫حمله‬ ‫مورد‬
‫دارند‬ ‫وجود‬.

• 65% of businesses that lose computing
capabilities for more than one week never
recover and go out of business.
• A Company Denied Access to Mission-Critical
Data For More Than 48 Hours Will Likely Be
Out Of Business With In One Years

•‫از‬ ‫بيشتر‬80%‫شده‬ ‫ديجيتايز‬ ‫اطالعات‬‫ارزش‬ ‫با‬ ‫و‬‫هارد‬ ‫روی‬ ‫بر‬ ‫سازمان‬
‫دارد‬ ‫قرار‬ ‫شخصي‬ ‫فايلهای‬ ‫و‬ ‫افراد‬ ‫های‬ ‫ديسک‬.
•‫تنها‬0.1‫نسخ‬ ‫از‬Backup‫اند‬ ‫توانسته‬Restore‫شوند‬.
•‫سال‬ ‫در‬2007‫تنها‬ ،1/2‫اند‬ ‫بوده‬ ‫حمله‬ ‫معرض‬ ‫در‬.
•‫در‬‫س‬‫ال‬2008،2/3‫اند‬ ‫بوده‬ ‫حمله‬ ‫معرض‬ ‫در‬ ‫شرکتها‬.
•‫تنها‬0.1‫اطالعا‬ ‫امنيت‬ ‫کالسيک‬ ‫دانش‬ ‫با‬ ‫کارمنداني‬ ‫شرکتها‬ ‫کل‬ ‫از‬‫ت‬
‫دارند‬.

•‫ها‬ ‫حفره‬‫ی‬‫امن‬‫ي‬‫ت‬‫ي‬‫افزارها‬ ‫نرم‬ ‫در‬ ‫بزرگ‬‫ی‬‫اهم‬ ‫پر‬‫ي‬‫سازمان‬ ‫ت‬‫ي‬‫دارد‬ ‫وجود‬
•‫رفتن‬‫ي‬‫ن‬ ‫ک‬‫ي‬‫رو‬‫ی‬‫ناراض‬‫ي‬‫ناش‬ ‫عواقب‬ ‫و‬‫ي‬‫باق‬ ‫از‬‫ي‬‫دسترس‬ ‫ماندن‬‫ي‬‫ب‬‫شبکه‬ ‫ه‬
‫داشت‬ ‫خواهد‬ ‫بدنبال‬ ‫جدی‬ ‫خطرات‬
•‫شود‬ ‫مي‬ ‫اطالعات‬ ‫دادن‬ ‫دست‬ ‫از‬ ‫باعث‬ ‫طبيعي‬ ‫حوادث‬
•‫اخت‬ ‫در‬ ‫را‬ ‫آنها‬ ‫يا‬ ‫شده‬ ‫اطالعات‬ ‫رفتن‬ ‫بين‬ ‫از‬ ‫باعث‬ ‫مجاز‬ ‫غير‬ ‫های‬ ‫نفوذ‬‫يار‬
‫دهد‬‫مي‬ ‫قرار‬ ‫رقبا‬
•‫ا‬ ‫براحتي‬ ‫را‬ ‫سازماني‬ ‫ارزش‬ ‫با‬ ‫اطالعات‬ ‫مخرب‬ ‫های‬ ‫کد‬ ‫ساير‬ ‫و‬ ‫ها‬ ‫ويروس‬‫ز‬
‫برند‬‫مي‬ ‫بين‬

‫با‬ ‫آشنائی‬ISMS
‫پاسخ‬‫اغلب‬‫ها‬‫سازمان‬‫در‬‫مواجهه‬‫با‬‫تهديدات‬،‫امنيتي‬‫خريد‬‫محصوالت‬‫امنيتي‬‫مانند‬
‫فايروال‬‫و‬‫های‬‫برنامه‬‫ضد‬‫ويروس‬‫و‬‫بکارگيری‬‫آنها‬‫در‬‫های‬‫سيستم‬‫کامپيوتری‬‫است‬.
‫اما‬‫استفاده‬‫از‬‫ترين‬‫گرانقيمت‬‫محصوالت‬‫امنيتي‬‫بدون‬‫شناخت‬‫و‬‫تحليل‬‫دقيق‬‫نيازهای‬
،‫امنيتي‬‫استفاده‬‫از‬‫های‬‫رويه‬‫استاندارد‬‫در‬،‫بکارگيری‬‫اطمينان‬‫از‬‫دانش‬‫امنيت‬
‫اطالعات‬‫نيروی‬‫انساني‬‫و‬‫استفاده‬‫از‬‫کنترل‬‫سيستم‬‫های‬‫امنيتي‬‫و‬‫بروز‬‫رس‬‫اني‬‫مداوم‬
‫اين‬‫ها‬‫سيستم‬‫به‬‫تنهائي‬‫کارساز‬‫نخواهند‬‫بود‬

‫امن‬ ‫سیستم‬!!
‫د‬ ‫امنيت‬ ‫تکنولوژی‬ ‫و‬ ‫کامپيوتری‬ ‫عمليات‬ ‫بخش‬ ‫مدير‬ ، ‫اسپافورد‬ ‫آقای‬ ‫نظر‬ ‫طبق‬‫انشگاه‬
، ‫شود‬ ‫مي‬ ‫محسوب‬ ‫امن‬ ،‫واقعي‬ ‫معنای‬ ‫به‬ ‫که‬ ‫سيستمي‬ ‫تنها‬ ، ‫پردو‬
•، ‫بوده‬ ‫خاموش‬ ‫که‬ ‫است‬ ‫سيستمي‬
•، ‫شده‬ ‫کشيده‬ ‫برق‬ ‫اتصال‬ ‫از‬
•،‫شده‬ ‫داده‬ ‫قرار‬ ‫تيتانيومي‬ ‫صندوق‬ ‫گاو‬ ‫يک‬ ‫داخل‬
•‫در‬‫باشد‬ ‫شده‬ ‫دفن‬ ‫بتني‬ ‫بونکر‬ ‫يک‬
•‫باشد‬ ‫شده‬ ‫محصور‬ ‫زبده‬ ‫محافظين‬ ‫و‬ ‫اعصاب‬ ‫کشنده‬ ‫گاز‬ ‫با‬ ‫آن‬ ‫پيرامون‬ ‫و‬.
‫کنم‬ ‫بندی‬ ‫شرط‬ ‫سيستم‬ ‫اين‬ ‫امنيت‬ ‫روی‬ ‫نيستم‬ ‫حاضر‬ ‫شرايط‬ ‫اين‬ ‫با‬ ‫حتي‬!
‫اسپافورد‬ ‫گن‬
‫پردو‬ ‫دانشگاه‬ ‫امنيت‬ ‫تکنولوژی‬ ‫و‬ ‫کامپيوتری‬ ‫عمليات‬ ‫بخش‬ ‫مدير‬

•‫باشد‬‫مي‬ ‫کاری‬ ‫غير‬ ‫مقاصد‬ ‫برای‬ ،‫کاری‬ ‫ساعات‬ ‫در‬ ‫کاربران‬ ‫بودن‬ ‫آنالين‬ ‫زمان‬ ‫سوم‬ ‫يک‬Websense-IDC
•80%‫غيراخالق‬ ‫های‬‫فيلم‬ ‫دانلود‬ ً‫ا‬‫خصوص‬ ‫غيرکاری‬ ‫مقاصد‬ ‫برای‬ ‫اينترنت‬ ‫از‬ ‫شرکت‬ ‫پرسنل‬ ‫که‬ ‫اند‬‫کرده‬ ‫اعالم‬ ‫ها‬‫شرکت‬‫استفاده‬ ‫ي‬
‫اند‬‫کرده‬CSI/FBI
•45%‫است‬ ‫داده‬ ‫رخ‬ ‫مجاز‬ ‫غير‬ ‫های‬ ‫دسترسي‬ ، ‫سازماني‬ ‫درون‬ ‫های‬‫نيروی‬ ‫توسط‬ ‫که‬ ‫اند‬‫کرده‬ ‫اعالم‬ ‫ها‬‫شرکت‬CSI/FBI
•‫حدود‬ ‫در‬430‫کاربر‬ ‫ميليون‬IM‫فقط‬ ‫که‬ ‫دارد‬ ‫وجود‬ ‫کاری‬ ‫ساعات‬ ‫در‬25%‫از‬ ‫استفاده‬ ‫برای‬ ‫مشخصي‬ ‫قوانين‬ ‫ها‬‫شرکت‬IM
‫دارند‬.Silicon.com,
•45%‫توسط‬ ‫شده‬ ‫دانلود‬ ‫های‬ ‫فايل‬Kazaa‫هستند‬ ‫ويروسي‬Trusecure,
•73%‫باشد‬ ‫مي‬ ‫اخالقي‬ ‫غير‬ ‫های‬‫فيلم‬ ‫خصوا‬ ‫در‬ ‫فيلم‬ ‫اشتراک‬ ‫های‬ ‫شبکه‬ ‫در‬ ‫شده‬ ‫جستجو‬ ‫های‬ ‫فيلم‬Palisade Systems,
•70%‫است‬ ‫شده‬ ‫گزارش‬ ‫کاری‬ ‫ساعات‬ ‫در‬ ‫دانلودی‬ ‫پورنو‬ ‫موارد‬Sex Tracker
•37%‫اند‬ ‫بوده‬ ‫اخالقي‬ ‫غير‬ ‫های‬‫سايت‬ ‫بدنبال‬ ‫کاری‬ ‫ساعات‬ ‫در‬ ‫اينترنت‬ ‫کاربران‬ComScore Networks
•77%‫دهد‬ ‫مي‬ ‫رخ‬ ‫اداری‬ ‫ساعات‬ ‫در‬ ‫اينترنتي‬ ‫های‬ ‫تلوزيون‬ ‫و‬ ‫ها‬ ‫راديو‬ ‫از‬ ‫استفاده‬Arbitron
•44%‫کنند‬ ‫مي‬ ‫استفاده‬ ‫کار‬ ‫محل‬ ‫در‬ ‫اينترنتي‬ ‫تلوزيون‬ ‫و‬ ‫راديو‬ ‫از‬ ‫فعالي‬ ‫صورت‬ ‫به‬ ‫پرسنل‬Nielsen NetRating
•99%‫ولي‬ ‫دارند‬ ‫ويروس‬ ‫آنتي‬ ‫ها‬ ‫شرکت‬82%‫اند‬‫شده‬ ‫آلوده‬ ‫ها‬ ‫ويروس‬ ‫توسط‬ ‫که‬ ‫اند‬‫کرده‬ ‫اعالم‬CSI/FBI

‫بنابراين‬IT‫ما‬ ‫های‬‫توانمندی‬ ‫افزايش‬ ‫و‬ ‫رفاه‬ ‫باعث‬ ‫که‬ ‫نسبتي‬ ‫همان‬ ‫به‬
‫ن‬ ‫فلج‬ ‫را‬ ‫کشور‬ ‫يا‬ ‫و‬ ‫ارگان‬ ،‫سازمان‬ ‫و‬ ‫بوده‬ ‫خطرناک‬ ‫تواند‬‫مي‬ ‫شود‬‫مي‬‫مايد‬.
‫استف‬ ‫سوء‬ ‫گونه‬ ‫هر‬ ‫از‬ ‫جلوگيری‬ ‫و‬ ‫آنها‬ ‫مديريت‬ ‫و‬ ‫اطالعات‬ ‫حفظ‬ ‫جهت‬ ‫لذا‬‫اده‬
‫های‬‫استاندارد‬ ‫و‬ ‫دنيا‬ ‫روز‬ ‫های‬ ‫دستاورد‬ ‫آخرين‬ ‫اساس‬ ‫بر‬ ‫بايست‬ ‫مي‬
‫نمود‬ ‫اقدام‬ ‫مربوطه‬.

‫با‬ ‫آشنائی‬ISMS
‫حادثه‬ ‫در‬ ‫اما‬11‫ا‬ ‫کمتر‬ ‫در‬ ‫سپتامبر‬‫ز‬
‫اطالعاتي‬ ‫دارائي‬ ‫تمامي‬ ‫روز‬ ‫نیم‬
‫بازمیگردد‬

‫جمهوري‬ ‫رياست‬ ‫بخشنامه‬
‫بند‬7‫شماره‬ ‫بخشنامه‬13711-86/‫م‬/38505‫مورخ‬
10/8/1386‫جمهور‬ ‫رئیس‬ ‫محترم‬ ‫اول‬ ‫معاون‬
___________________________________
7‫ت‬‫کليه‬‫دستگاههايي‬‫که‬‫از‬‫شبکه‬‫های‬‫رايانه‬‫ای‬‫استفاده‬‫مي‬‫نمايند‬‫بخصوا‬
‫دستگاههايي‬‫که‬‫شبکه‬‫داخلي‬‫آنها‬‫به‬‫شبکه‬‫عمومي‬‫نظير‬‫شبکه‬‫اينترنت‬،‫متصلند‬
‫موظفند‬‫حداکثر‬‫تا‬‫پايان‬‫سال‬‫جاری‬‫طرح‬‫مديريت‬‫امنيت‬‫اطالعات‬‫دستگاه‬(ISMS)
‫خود‬‫را‬‫تهيه‬‫و‬‫جهت‬‫تصويب‬‫به‬‫دبيرخانه‬‫شورای‬‫عالي‬‫ياد‬‫شده‬‫ارائه‬‫دهند‬.

•‫ا‬ ‫اطالعات‬ ‫امنيت‬ ‫سيستم‬ ‫يک‬ ‫ايجاد‬ ‫و‬ ‫بررسي‬ ‫امنيت‬ ‫مديريت‬ ‫وظايف‬ ‫از‬ ‫يکي‬‫که‬ ‫ست‬
‫باشد‬ ‫سازمان‬ ‫اهداف‬ ‫با‬ ‫متناسب‬.
•‫گرفت‬ ‫نظر‬ ‫در‬ ‫را‬ ‫مختلفي‬ ‫عوامل‬ ‫بايد‬ ‫سيستم‬ ‫اين‬ ‫طراحي‬ ‫برای‬.‫ارزش‬ ‫محاسبه‬
‫تخمي‬ ‫و‬ ‫احتمالي‬ ‫خسارتهای‬ ‫محاسبه‬ ‫و‬ ‫خطرات‬ ‫بررسي‬ ،‫اقتصادی‬ ‫نظر‬ ‫از‬ ‫اطالعات‬‫ن‬
‫هزينه‬-‫احتم‬ ‫تهديدات‬ ‫بررسي‬ ،‫اطالعات‬ ‫امنيت‬ ‫سيستم‬ ‫از‬ ‫استفاده‬ ‫سودمندی‬‫و‬ ‫الي‬
‫سيستمها‬ ‫طراحي‬ ‫برای‬ ‫روش‬ ‫سودمندترين‬ ‫انتخاب‬ ‫و‬ ‫مختلف‬ ‫راهکارهای‬ ‫بررسي‬‫ی‬
‫ميرسد‬ ‫بنظر‬ ‫ضروری‬ ‫اطالعات‬ ‫امنيت‬

‫اطالعات‬ ‫امنیت‬ ‫به‬ ‫توجه‬ ‫ضرورت‬
‫تمرين‬
•‫اط‬ ‫امنيت‬ ‫به‬ ‫مناسب‬ ‫توجه‬ ‫عدم‬ ‫دليل‬ ‫به‬ ‫که‬ ‫نمائيد‬ ‫اشاره‬ ‫مشکالتي‬ ‫به‬ ً‫ا‬‫لطف‬‫برای‬ ‫العت‬
‫است‬ ‫داده‬ ‫رخ‬ ‫شما‬ ‫سازمان‬

‫اطالعات‬ ‫امنیت‬ ‫مدیریت‬ ‫سیستم‬ ‫با‬ ‫آشنائی‬–ISMS
‫يعني‬ ‫ها‬ ‫دارائي‬ ‫از‬ ‫موثر‬ ‫محافظت‬
•‫سازمان‬ ‫های‬ ‫ريسک‬ ‫با‬ ‫متناسب‬ ‫های‬ ‫کنترل‬ ‫اعمال‬
•‫سازمان‬ ‫نياز‬ ‫با‬ ‫متناسب‬ ‫و‬ ‫مطلوب‬ ‫حفاظتي‬ ‫سطح‬ ‫ايجاد‬(‫بيشت‬ ‫نه‬‫نه‬ ‫و‬ ‫ر‬
‫کمتر‬)

•‫انگلس‬ ‫کشور‬ ‫در‬ ‫بار‬ ‫اولين‬ ‫اطالعات‬ ‫امنيت‬ ‫حوزه‬ ‫در‬ ‫استاندارد‬ ‫يک‬ ‫ايجاد‬ ‫انديشه‬‫تان‬
‫گرفت‬ ‫شکل‬.‫د‬ ‫اوايل‬ ،‫آن‬ ‫از‬ ‫ناشي‬ ‫های‬ ‫زيان‬ ‫و‬ ‫امنيتي‬ ‫رخدادهای‬ ‫گسترش‬ ‫پي‬ ‫در‬‫هه‬
90‫انگلس‬ ‫استاندارد‬ ‫موسسه‬ ‫در‬ ‫اطالعات‬ ‫امنيت‬ ‫ی‬‫ويژه‬ ‫کاری‬ ‫گروه‬ ‫يک‬ ‫ميالدی‬‫تان‬
‫گرفت‬ ‫شکل‬.
•‫سال‬ ‫در‬ ‫گروه‬ ‫اين‬ ‫های‬ ‫فعاليت‬93‫اجرايي‬ ‫های‬ ‫دستورالعمل‬ ‫مجموعه‬ ‫تدوين‬ ‫با‬
‫نتي‬ ‫به‬ ‫شده‬ ‫آزموده‬ ‫تجارب‬ ‫بهترين‬ ‫از‬ ‫شده‬ ‫برگرفته‬ ‫اطالعات‬ ‫امنيت‬ ‫مديريت‬‫رسيد‬ ‫جه‬
‫استاندارد‬ ‫نسخه‬ ‫اولين‬ ‫انتشار‬ ‫موجب‬ ‫مساله‬ ‫اين‬ ‫و‬BS 7799‫سال‬ ‫در‬95‫شد‬.

•‫سرتا‬ ‫در‬ ‫کامپيوتر‬ ‫کاربران‬ ‫نگراني‬ ‫و‬ ‫خبرها‬ ‫تيتر‬ ‫به‬ ‫اطالعات‬ ‫امنيت‬ ‫مرور‬ ‫به‬‫جهان‬ ‫سر‬
‫شد‬ ‫تبديل‬.
•‫استاندارد‬ ‫بکارگيری‬ ‫با‬ ‫همزمان‬BS 7799‫جلوگيری‬ ‫همچنين‬ ‫و‬ ‫سازمانها‬ ‫برخي‬ ‫در‬
‫اط‬ ‫امنيت‬ ‫استاندارد‬ ‫يک‬ ‫انتشار‬ ‫برای‬ ‫تقاضا‬ ،‫کشورها‬ ‫برخي‬ ‫در‬ ‫آن‬ ‫گسترش‬ ‫از‬‫العات‬
‫نظير‬ ‫المللي‬ ‫بين‬ ‫مشخص‬ ‫موسسه‬ ‫يک‬ ‫نظر‬ ‫تحت‬ISO‫به‬ ‫منجر‬ ‫و‬ ‫يافت‬ ‫افزايش‬
«‫سريع‬ ‫پيگيری‬»‫اول‬ ‫بخش‬BS 7799‫استاندارد‬ ‫المللي‬ ‫بين‬ ‫موسسه‬ ‫توسط‬ISO
‫موسسه‬ ‫توسط‬ ‫بار‬ ‫نخستين‬ ‫برای‬ ‫آن‬ ‫انتشار‬ ‫با‬ ‫و‬ ‫شد‬ISO‫عنوان‬ ‫تحت‬ISO/IEC
17799 : 2000‫سال‬ ‫دسامبر‬ ‫در‬2000‫رسيد‬ ‫خود‬ ‫اوج‬ ‫به‬.

‫خانواده‬ ‫با‬ ‫آشنائی‬ISO 27000
•‫سال‬ ‫در‬2005‫اس‬ ‫يک‬ ‫که‬ ‫رسيد‬ ‫نتيجه‬ ‫اين‬ ‫به‬ ‫استاندارد‬ ‫المللي‬ ‫بين‬ ‫موسسه‬‫تاندارد‬
‫مختلف‬ ‫های‬ ‫حوزه‬ ‫در‬ ‫امنيت‬ ‫برقراری‬ ‫برای‬ ‫جهاني‬ ‫جامعه‬ ‫نياز‬ ‫جوابگوی‬ ‫واحد‬
‫باشد‬‫نمي‬.
•‫مفاهيم‬ ‫و‬ ‫دامنه‬ ‫گسترش‬ ‫و‬ ‫اطالعات‬ ‫امنيت‬ ‫مديريت‬ ‫استاندارد‬ ‫شدن‬ ‫فراگير‬ ‫با‬،‫آن‬
‫ای‬ ‫مجموعه‬ ‫قالب‬ ‫در‬ ‫را‬ ‫استاندارد‬ ‫اين‬ ‫که‬ ‫رسيدند‬ ‫نتيجه‬ ‫اين‬ ‫به‬ ‫امر‬ ‫متخصصين‬‫از‬
‫دهند‬ ‫ارائه‬ ‫مختلف‬ ‫رويکردهای‬ ‫با‬ ‫های‬ ‫استاندارد‬.‫سال‬ ‫در‬ ‫نتيجه‬ ‫در‬2005‫مجموعه‬
‫استاندارد‬ ‫خانواده‬ISO27000‫شد‬ ‫ارائه‬.
•‫استاندارد‬ ‫خانواده‬ ‫تشکيل‬ ‫به‬ ‫اقدام‬ ‫اينرو‬ ‫از‬ISO27000‫مختلف‬ ‫های‬ ‫جنبه‬ ‫که‬ ‫نمود‬
‫ميدهد‬ ‫پوشش‬ ‫را‬ ‫امر‬ ‫اين‬.‫اند‬ ‫نشده‬ ‫منتشر‬ ‫هنوز‬ ‫استانداردها‬ ‫اين‬ ‫از‬ ‫برخي‬ ‫البته‬‫در‬ ‫که‬
‫يافت‬ ‫خواهد‬ ‫تحقق‬ ‫امر‬ ‫اين‬ ‫نزديک‬ ‫ای‬ ‫آينده‬.

‫استاندارد‬ ‫تاریخچه‬ISO27001

‫خانواده‬ ‫با‬ ‫آشنائی‬ISO 27000
•ISO27000‫خانواده‬ ‫استانداردهای‬ ‫بر‬ ‫مروری‬ ‫و‬ ‫مقدمه‬ISMS‫مورد‬ ‫رايج‬ ‫واژگان‬ ‫تعريف‬ ‫همراه‬ ‫به‬
‫استفاده‬.
•ISO27001‫گواهينامه‬ ‫اخذ‬ ‫جهت‬ ‫سازمانها‬ ‫صالحيت‬ ‫احراز‬ ‫منظور‬ ‫به‬ ‫استاندارد‬ ‫الزامات‬ ‫ارائه‬.
•ISO27002‫مديريت‬ ‫سيستم‬ ‫کار‬ ‫آيين‬‫اطالعات‬ ‫امنيت‬
•ISO27003‫سازی‬ ‫پياده‬ ‫راهنمای‬ISMS.
•ISO27004‫اطالعات‬ ‫امنيت‬ ‫مديريت‬ ‫سطح‬ ‫تعيين‬ ‫و‬ ‫گيری‬ ‫اندازه‬ ‫استاندارد‬.
•ISO27005‫اطالعات‬ ‫امنيت‬ ‫در‬ ‫ريسک‬ ‫مديريت‬ ‫استاندارد‬.
•ISO27006‫گواهينامه‬ ‫دريافت‬ ‫مراحل‬ ‫راهنمای‬.
•ISO27007‫بر‬ ‫نظارت‬ ‫و‬ ‫بازرسي‬ ‫راهنمای‬ISMS.
•ISO27011‫سازی‬ ‫پياده‬ ‫راهنمايي‬ISMS‫مخابرات‬ ‫صنعت‬ ‫در‬.
•ISO27799‫سازی‬ ‫پياده‬ ‫راهنمای‬ISMS‫سالمت‬ ‫حوزه‬ ‫در‬.

‫خانواده‬ ‫استانداردهای‬ ‫روابط‬27000

•ISO27001‫ها‬ ‫سازمان‬ ‫تمام‬(‫دولتي‬ ‫غير‬ ‫و‬ ‫دولتي‬)‫الزامات‬ ‫و‬ ‫گردد‬ ‫مي‬ ‫شامل‬ ‫را‬
‫به‬ ‫و‬ ‫نگهداری‬ ، ‫بازنگری‬ ، ‫پايش‬ ، ‫برداری‬ ‫بهره‬ ، ‫سازی‬ ‫پياده‬ ، ‫ايجاد‬ ‫به‬ ‫مربوط‬‫يک‬ ‫بود‬
ISMS‫تصري‬ ‫و‬ ‫تعيين‬ ‫را‬ ‫سازمان‬ ‫کلي‬ ‫های‬ ‫ريسک‬ ‫قالب‬ ‫در‬ ‫شده‬ ‫سازی‬ ‫مستند‬‫ح‬
‫نمايد‬‫مي‬.
• establishing, implementing, operating, monitoring,
reviewing, maintaining and improving

‫استاندارد‬ISO27001‫يعني‬ ‫خاا‬ ‫مفهوم‬ ‫سه‬ ‫در‬ ‫را‬ ‫اطالعات‬ ‫از‬ ‫حفاظت‬
.‫اطالعات‬ ‫بودن‬ ‫بودن‬ ‫محرمانه‬ 1(Confidentiality)
.‫يکپارچگي‬ ‫يا‬ ‫اطالعات‬ ‫صحت‬ 2(Integrity)
.‫اطالعات‬ ‫بودن‬ ‫دسترس‬ ‫در‬ 3(Availability)
‫نمايد‬ ‫مي‬ ‫تعريف‬.
‫تبصره‬:‫قبيل‬ ‫از‬ ‫خصوصيات‬ ‫ساير‬ ‫اين‬ ‫بر‬ ‫عالوه‬
•‫اعتبار‬Authenticity،
•‫پاسخگويي‬Accountability،
•‫انکار‬ ‫عدم‬Non-repudiation
•‫پذيری‬ ‫اطمينان‬Reliability
‫باشد‬ ‫مي‬ ‫مدنظر‬ ‫نيز‬
‫صحت‬‫محرمانگي‬
‫دسترسي‬ ‫قابليت‬

‫محرمانگی‬(Confidentiality)
‫محافظت‬ ‫سهوی‬ ‫يا‬ ‫و‬ ‫عمدی‬ ، ‫مجاز‬ ‫غير‬ ‫دستکاری‬ ‫از‬ ‫اطالعات‬ ‫اينکه‬ ‫از‬ ‫اطمينان‬ ‫جهت‬
‫شوند‬ ‫مي‬.
‫نياز‬ ‫که‬ ‫گيرد‬ ‫مي‬ ‫قرار‬ ‫مجازی‬ ‫سازمانهای‬ ،‫افراد‬ ‫اختيار‬ ‫در‬ ‫فقط‬ ‫اطالعات‬ ‫اينکه‬ ‫و‬‫آنها‬
‫است‬ ‫شده‬ ‫تاييد‬ ‫اطالعات‬ ‫اين‬ ‫دانستن‬ ‫به‬.

‫یکپارچگی‬(Integrity)
‫اجازه‬ ‫بدون‬ ‫توانند‬ ‫نمي‬ ‫ها‬ ‫داده‬:
‫شوند‬ ‫ايجاد‬
‫يابند‬ ‫تغيير‬
‫بروند‬ ‫بين‬ ‫از‬

‫دستیابی‬ ‫قابلیت‬(Availability)
•‫کنتر‬ ‫و‬ ‫اطالعات‬ ‫پردازش‬ ‫جهت‬ ‫استفاده‬ ‫مورد‬ ‫کامپيوتری‬ ‫های‬ ‫سيستم‬ ،‫اطالعات‬‫ل‬
‫در‬ ‫اطالعات‬ ‫به‬ ‫نياز‬ ‫زمان‬ ‫در‬ ،‫اطالعات‬ ‫از‬ ‫حفاظت‬ ‫جهت‬ ‫استفاده‬ ‫مورد‬ ‫امنيتي‬ ‫های‬
‫کنند‬ ‫کار‬ ‫کامل‬ ‫طور‬ ‫به‬ ‫و‬ ‫باشند‬ ‫دسترس‬.

‫پوشش‬ ‫تحت‬ ‫های‬ ‫حوزه‬ISO 27001
‫دارای‬ ‫المللي‬ ‫بين‬ ‫استاندارد‬ ‫اين‬10‫بند‬ ‫از‬ ‫که‬ ‫است‬ ‫بند‬4‫تا‬10‫استاندارد‬ ‫اصلي‬ ‫بندهای‬
‫است‬.
‫دارای‬ ‫استاندارد‬ ‫اين‬ ‫همچنين‬35‫زير‬ ‫چندين‬ ‫شامل‬ ‫گروه‬ ‫هر‬ ‫و‬ ‫است‬ ‫کنترلي‬ ‫هدف‬
‫باشد‬ ‫مي‬ ‫مجموعه‬(‫دارای‬114‫کنترل‬)‫است‬ ‫شده‬ ‫ارائه‬ ‫استاندارد‬ ‫پيوست‬ ‫به‬ ‫که‬.
‫ک‬ ‫استثناء‬ ‫قابل‬ ‫دليل‬ ‫ذکر‬ ‫با‬ ‫و‬ ‫کنترلي‬ ‫اهداف‬ ‫بجز‬ ‫استاندارد‬ ‫بندهای‬ ‫از‬ ‫يک‬ ‫هيچ‬‫ردن‬
‫باشد‬‫نمي‬.

ISO27001:2013 controls schema

ISMS‫ا‬ ‫با‬ ‫و‬ ‫نمايد‬ ‫مي‬ ‫تضمين‬ ‫را‬ ‫متناسب‬ ‫و‬ ‫کافي‬ ‫امنيتي‬ ‫های‬ ‫کنترل‬ ‫انتخاب‬ ،‫از‬ ‫ستفاده‬
‫همين‬‫بته‬ ‫و‬ ‫نمتوده‬ ‫محافظتت‬ ‫را‬ ‫هتا‬ ‫ستازمان‬ ‫اطالعاتي‬ ‫های‬ ‫دارايي‬ ، ‫امنيتي‬ ‫های‬ ‫کنترل‬
‫دهد‬ ‫مي‬ ‫خاطر‬ ‫اطمينان‬ ‫ذينفع‬ ‫طرفين‬.

ISMS‫های‬ ‫سيستم‬ ‫امنيت‬ ‫بتوانند‬ ‫تا‬ ‫دهد‬ ‫مي‬ ‫را‬ ‫امکان‬ ‫اين‬ ‫مديران‬ ‫به‬‫خود‬
‫کنند‬ ‫کنترل‬ ‫تجاری‬ ‫و‬ ‫امنيتي‬ ‫های‬ ‫ريسک‬ ‫رساندن‬ ‫حداقل‬ ‫به‬ ‫با‬ ‫را‬.(PDCA)
‫در‬ ‫مذکور‬ ‫مشکالت‬ ‫حل‬ ‫راهکار‬ ‫اطالعات‬ ‫امنيت‬ ‫مديريت‬ ‫سيستم‬
‫باشد‬ ‫مي‬ ‫اطالعاتي‬ ‫های‬‫سيستم‬.‫س‬ ‫بر‬ ‫امنيتي‬ ‫جامع‬ ‫سيستم‬ ‫يک‬‫پايه‬ ‫ه‬
‫است‬ ‫استوار‬:
•‫امنيتي‬ ‫دستورالعملهای‬ ‫و‬ ‫ها‬ ‫سياست‬
•‫امنيتي‬ ‫محصوالت‬ ‫و‬ ‫تکنولوژی‬
•‫اجرايي‬ ‫عوامل‬

‫امنیتي‬ ‫دستورالعملهاي‬ ‫و‬ ‫سیاستها‬:
‫اطالعاتي‬ ‫های‬‫سيستم‬ ‫از‬ ‫محافظت‬ ‫نحوه‬ ‫برای‬ ‫مرتبط‬ ‫های‬‫برنامه‬ ‫و‬ ‫طرحها‬‫و‬
‫گيرد‬ ‫مي‬ ‫قرار‬ ‫توجه‬ ‫مورد‬ ‫قسمت‬ ‫اين‬ ‫در‬ ‫آنها‬ ‫های‬‫داده‬.
‫گردد‬‫مي‬ ‫ارائه‬ ‫فني‬ ‫و‬ ‫فني‬‫غير‬ ‫بخش‬ ‫دو‬ ‫در‬ ‫امنيتي‬ ‫استراتژی‬.
‫استان‬ ‫انتخاب‬ ‫و‬ ‫مطلوب‬ ‫امنيتي‬ ‫سطوح‬ ‫تعيين‬ ‫شامل‬ ‫غيرفني‬ ‫بخش‬‫داردهای‬
‫بکارگ‬ ‫برای‬ ‫الزم‬ ‫دستورالعملهای‬ ‫تهيه‬ ‫شامل‬ ‫فني‬ ‫بخش‬ ‫و‬ ‫امنيتي‬‫و‬ ‫يری‬
‫استراتژيک‬ ‫اهداف‬ ‫به‬ ‫نيل‬ ‫جهت‬ ‫امنيتي‬ ‫سيستم‬ ‫اجزای‬ ‫بر‬ ‫نظارت‬
‫باشد‬‫مي‬.

‫امنیتي‬ ‫محصوالت‬ ‫و‬ ‫تکنولوژي‬:
‫امني‬ ‫مختلف‬ ‫های‬‫بخش‬ ‫در‬ ‫استفاده‬ ‫مورد‬ ‫ابزارهای‬ ‫تمام‬ ‫شامل‬ ‫قسمت‬ ‫اين‬‫تي‬
‫باشد‬‫مي‬ ‫نظارت‬ ‫و‬ ‫کنترل‬ ، ‫دستورالعملها‬ ‫اعمال‬ ‫برای‬.‫محافظ‬ ‫ابزارهای‬‫تي‬
‫راهکارهای‬ ‫و‬ ‫دسترسي‬ ‫کنترل‬ ‫های‬‫سيستم‬ ، ‫شبکه‬ ‫بر‬ ‫نظارت‬ ‫و‬
‫گردند‬‫مي‬ ‫مطرح‬ ‫بخش‬ ‫اين‬ ‫در‬ ‫ضدويروس‬.

‫اجرايي‬ ‫عوامل‬:
‫سيس‬ ‫مديران‬ ‫شامل‬ ‫امنيتي‬ ‫سيستم‬ ‫اجرای‬ ‫و‬ ‫مديريت‬ ‫با‬ ‫مرتبط‬ ‫افراد‬‫و‬ ‫ها‬‫تم‬
‫دارند‬ ‫جای‬ ‫قسمت‬ ‫اين‬ ‫در‬ ‫عادی‬ ‫کاربران‬ ‫و‬ ‫پرسنل‬ ، ‫ها‬‫شبکه‬.‫عوام‬ ‫اين‬‫ل‬
‫امني‬ ‫دستورالعملهای‬ ‫و‬ ‫سياستها‬ ‫اجرای‬ ‫جهت‬ ‫در‬ ‫ابزارها‬ ‫و‬ ‫تکنولوژی‬ ‫از‬‫تي‬
‫کنند‬‫مي‬ ‫استفاده‬.

‫پوشش‬ ‫تحت‬ ‫های‬ ‫حوزه‬ISO 27001
•‫تمامي‬‫الزامات‬‫اين‬‫استاندارد‬‫عمومي‬‫بوده‬‫و‬‫در‬‫کليه‬،‫ها‬‫سازمان‬‫صرفنظر‬‫از‬،‫نوع‬
‫اندازه‬،‫يا‬‫زمينه‬‫فعاليت‬‫آنها‬‫قابل‬‫اعمال‬‫مي‬‫باشد‬‫در‬‫صورت‬‫امکان‬‫هر‬‫يک‬‫از‬‫ال‬‫زامات‬
‫اين‬‫استاندارد‬،‫به‬‫دليل‬‫ماهيت‬‫و‬‫نوع‬‫فعاليت‬‫سازمان‬،‫ميتوان‬‫آن‬‫را‬‫ناديده‬‫گ‬‫رفت‬
•‫در‬‫صورت‬‫بروز‬‫چنين‬،‫استثنايي‬‫انطباق‬‫با‬‫استاندارد‬‫پذيرفته‬‫نخواهد‬‫شد‬‫م‬‫گر‬‫اينکه‬
‫مشخص‬‫شود‬‫تاثيری‬‫بر‬‫توانايي‬‫و‬‫مسئوليت‬‫های‬‫سازمان‬‫در‬‫قبال‬‫تامين‬‫امن‬‫يت‬
‫اطالعات‬(‫که‬‫بر‬‫اساس‬‫الزامات‬‫امنيتي‬،‫قانوني‬‫و‬‫تشخيص‬‫ريسک‬‫تدوين‬‫ش‬‫اند‬‫ده‬)
‫نخواهد‬‫داشت‬.
•‫در‬‫مورد‬‫هرگونه‬‫استثناء‬‫در‬‫مورد‬‫کنترلها‬،‫سازمان‬‫بايد‬‫حداکثر‬‫ميزان‬‫قبول‬‫ر‬‫يسک‬
‫را‬‫در‬‫نظر‬‫داشته‬‫و‬‫همينطور‬‫در‬‫مورد‬‫ارائه‬‫مدارک‬‫الزم‬‫در‬‫اين‬‫زمينه‬،‫تائيد‬‫و‬
‫پذيرش‬‫ريسک‬‫بوجود‬‫آمده‬‫توسط‬‫مسئوالن‬‫الزامي‬‫است‬

‫کاربرد‬ISMS
•ISO27001‫ها‬ ‫سازمان‬ ‫تمام‬(‫دولتي‬ ‫غير‬ ‫و‬ ‫دولتي‬)‫الزامات‬ ‫و‬ ‫گردد‬ ‫مي‬ ‫شامل‬ ‫را‬
‫به‬ ‫و‬ ‫نگهداری‬ ، ‫بازنگری‬ ، ‫پايش‬ ، ‫برداری‬ ‫بهره‬ ، ‫سازی‬ ‫پياده‬ ، ‫ايجاد‬ ‫به‬ ‫مربوط‬‫يک‬ ‫بود‬
ISMS‫تصري‬ ‫و‬ ‫تعيين‬ ‫را‬ ‫سازمان‬ ‫کلي‬ ‫های‬ ‫ريسک‬ ‫قالب‬ ‫در‬ ‫شده‬ ‫سازی‬ ‫مستند‬‫ح‬
‫نمايد‬‫مي‬.
•‫مبنای‬ ‫بر‬ ‫اطالعات‬ ‫امنيت‬ ‫مديريت‬ ‫سيستم‬‫ها‬‫دارائي‬ ‫شناسائي‬‫م‬ ‫های‬ ‫ريسک‬ ‫و‬‫با‬ ‫رتبط‬
‫است‬ ‫شده‬ ‫بنا‬ ‫آن‬

Risk
• Risk is a function of the likelihood of a given threat-
source’s exercising a particular potential vulnerability,
and the resulting impact of that adverse event on the
organization.

‫ریسک‬ ‫مدیریت‬(Risk Management)
•‫پذير‬ ‫آسيب‬ ‫نقاط‬ ‫شناسايي‬ ‫جهت‬ ‫است‬ ‫فرايندی‬ ‫ريسک‬ ‫مديريت‬(Vulnerability)‫و‬
‫تهديدهای‬(Threat)‫اهداف‬ ‫تحقق‬ ‫جهت‬ ‫سازمان‬ ‫نياز‬ ‫مورد‬ ‫اطالعاتي‬ ‫منابع‬ ‫با‬ ‫مرتبط‬
‫ت‬ ‫ريسک‬ ‫کاهش‬ ‫جهت‬ ‫پيشگيرانه‬ ‫اقدامات‬ ‫با‬ ‫ارتباط‬ ‫در‬ ‫گيری‬ ‫تصميم‬ ‫و‬ ‫کاری‬‫رسيدن‬ ‫ا‬
‫اطالعاتي‬ ‫منابع‬ ‫آن‬ ‫ارزش‬ ‫اساس‬ ‫بر‬ ،‫آن‬ ‫قبول‬ ‫قابل‬ ‫سطح‬ ‫به‬(.CISA Review Manual 2006)
•‫ان‬ ‫مي‬ ‫خطر‬ ‫به‬ ‫را‬ ‫اطالعات‬ ‫دارايي‬ ‫که‬ ‫است‬ ‫ضعفي‬ ‫واقع‬ ‫در‬ ‫پذير‬ ‫آسيب‬ ‫نقطه‬ ‫يک‬‫دازد‬.
•‫دارد‬ ‫را‬ ‫خطر‬ ‫ايجاد‬ ‫پتانسيل‬ ‫که‬ ‫است‬ ‫چيزی‬ ‫تهديد‬ ‫يک‬.

‫ریسک‬ ‫مدیریت‬-‫ادامه‬
•‫استف‬ ‫رساني‬ ‫آسيب‬ ‫جهت‬ ‫پذير‬ ‫آسيب‬ ‫نقطه‬ ‫يک‬ ‫از‬ ‫تهديد‬ ‫يک‬ ‫اينکه‬ ‫احتمال‬،‫کند‬ ‫اده‬
‫کند‬ ‫مي‬ ‫ايجاد‬ ‫را‬ ‫ريسک‬ ‫يک‬.
•‫ک‬ ‫مي‬ ‫استفاده‬ ‫پذير‬ ‫آسيب‬ ‫نقطه‬ ‫يک‬ ‫از‬ ‫رساندن‬ ‫آسيب‬ ‫جهت‬ ‫تهديد‬ ‫يک‬ ‫وقتي‬‫يک‬ ،‫ند‬
‫اثر‬(Impact)‫دارد‬.
•‫محر‬ ‫و‬ ‫يکپارچگي‬ ،‫محرمانگي‬ ‫رفتن‬ ‫دست‬ ‫از‬ ،‫اثر‬ ‫يک‬ ،‫اطالعات‬ ‫امنيت‬ ‫زمينه‬ ‫در‬‫مانگي‬
‫شود‬ ‫مي‬ ‫تلقي‬.
•‫ها‬ ‫ريسک‬ ‫همه‬ ‫حذف‬ ‫هاو‬ ‫ريسک‬ ‫کليه‬ ‫شناسايي‬ ‫امکان‬ ‫که‬ ‫است‬ ‫تذکر‬ ‫به‬ ‫الزم‬‫وجود‬
‫ندارد‬.

•‫ک‬ ‫حوزه‬ ‫آن‬ ‫در‬ ‫دانش‬ ‫دارای‬ ‫که‬ ‫شود‬ ‫مي‬ ‫انجام‬ ‫افراد‬ ‫از‬ ‫تيمي‬ ‫توسط‬ ‫ريسک‬ ‫ارزيابي‬‫اری‬
‫باشند‬ ‫مي‬ ‫خاا‬.
•‫صو‬ ‫در‬ ‫يا‬ ‫و‬ ‫کارشناسي‬ ‫نظر‬ ‫اساس‬ ‫بر‬ ‫کيفي‬ ‫تحليل‬ ‫از‬ ‫تواند‬ ‫مي‬ ‫ارزيابي‬ ‫اين‬‫وجود‬ ‫رت‬
‫نمايد‬ ‫استفاده‬ ‫کمي‬ ‫تحليل‬ ‫از‬ ،‫گذشته‬ ‫اطالعات‬ ‫و‬ ‫مالي‬ ‫اطالعات‬.

•‫است‬ ‫زير‬ ‫موارد‬ ‫بر‬ ‫مشتمل‬ ‫ريسک‬ ‫مديريت‬ ‫فرايند‬:
–‫ها‬ ‫دارايي‬ ‫شناسايي‬،‫افزارها‬ ‫سخت‬ ،‫ساختمانها‬ ،‫افراد‬ ‫شامل‬ ‫آنها‬ ‫ارزش‬ ‫وتخمين‬
‫ها‬ ‫داده‬ ،‫افزارها‬ ‫نرم‬(‫غيره‬ ‫و‬ ‫کاغذی‬ ‫يا‬ ‫الکترونيکي‬)‫کنندگان‬ ‫تامين‬ ،.
–‫شامل‬ ‫تهديد‬ ‫ارزيابي‬:‫بدخواهانه‬ ‫اقدامات‬ ،‫تصادفات‬ ،‫جنگ‬ ،‫طبيعي‬ ‫اتفاقات‬‫از‬
‫سازمان‬ ‫برون‬ ‫با‬ ‫دورن‬ ‫طرف‬.
–‫پذير‬ ‫آسيب‬ ‫نقاط‬ ‫ارزيابي‬‫آن‬ ‫قرارگرفتن‬ ‫استفاده‬ ‫مورد‬ ‫احتمال‬ ‫محاسبه‬ ‫و‬ ،.‫ارزيابي‬
‫کنتر‬ ،‫فيزيکي‬ ‫امنيت‬ ،‫ها‬ ‫آموزش‬ ،‫استانداردها‬ ،‫اجرايي‬ ‫های‬ ‫روش‬ ،‫ها‬ ‫مشي‬ ‫خط‬‫ل‬
‫فني‬ ‫امنيت‬ ،‫کيفيت‬.

•‫است‬ ‫زير‬ ‫موارد‬ ‫بر‬ ‫مشتمل‬ ‫ريسک‬ ‫مديريت‬ ‫فرايند‬( :‫ادامه‬)
–‫تهديد‬ ‫يک‬ ‫اثر‬ ‫شدت‬ ‫محاسبه‬‫ها‬ ‫دارايي‬ ‫روی‬ ‫بر‬(‫ا‬ ‫کمي‬ ‫يا‬ ‫کيفي‬ ‫تحليل‬ ‫از‬‫ستفاده‬
‫کنيد‬)
–‫های‬ ‫کنترل‬‫کنيد‬ ‫اعمال‬ ‫و‬ ‫انتخاب‬ ،‫شناسايي‬ ‫را‬ ‫مناسبي‬.
–‫مناسبي‬ ‫پاسخ‬‫ب‬ ‫مرتبط‬ ‫هزينه‬ ‫اثربخشي‬ ‫و‬ ‫کارايي‬ ‫گرفتن‬ ‫نظر‬ ‫در‬ ‫با‬ ‫را‬‫ارزش‬ ‫و‬ ‫آن‬ ‫ا‬
‫ببينيد‬ ‫تدارک‬ ‫دارايي‬ ‫آن‬.
–‫ارزيابي‬ ‫را‬ ‫کنترلي‬ ‫معيارهای‬ ‫اثربخشي‬‫کنيد‬.‫ک‬ ‫هزينه‬ ‫که‬ ‫شويد‬ ‫مطمئن‬‫ها‬ ‫نترل‬
‫باشند‬ ‫هم‬ ‫کارا‬ ،‫کند‬ ‫مي‬ ‫عمل‬ ‫اثربخش‬ ‫طور‬ ‫به‬ ‫که‬ ‫حالي‬ ‫عين‬ ‫در‬.

•‫شود‬ ‫واقع‬ ‫بحث‬ ‫مورد‬ ‫تواند‬ ‫مي‬ ‫ريسک‬ ‫واقعيت‬.
•‫است‬ ‫ممکن‬ ‫مديريت‬:
–‫را‬ ‫ريسک‬ ‫يک‬‫بپذيرد‬(‫و‬ ،‫آن‬ ‫رخداد‬ ‫پايين‬ ‫تناوب‬ ،‫دارايي‬ ‫آن‬ ‫ارزش‬ ‫اساس‬ ‫بر‬‫يا‬
‫آن‬ ‫پايين‬ ‫اثر‬ ‫شدت‬)
–‫را‬ ‫ريسک‬ ‫يک‬‫دهد‬ ‫تخفيف‬(‫ج‬ ‫مناسب‬ ‫کنترلي‬ ‫معيارهای‬ ‫اعمال‬ ‫و‬ ‫انتخاب‬ ‫با‬‫هت‬
‫ريسک‬ ‫کاهش‬)
–‫را‬ ‫ريسک‬ ‫يک‬‫دهد‬ ‫انتقال‬(‫و‬ ‫سپاری‬ ‫برون‬ ،‫بيمه‬ ‫توسط‬)...
–‫کند‬ ‫اجتناب‬ ‫ريسک‬ ‫آن‬ ‫از‬.

Risk

Statement of Applicability
‫بیانیه‬‫پذيري‬ ‫کاربرد‬
•‫مي‬ ‫اطالق‬ ‫مستندی‬ ‫گزارش‬ ‫به‬‫کنترل‬ ‫و‬ ‫کنترلي‬ ‫اهداف‬ ‫کننده‬ ‫مشخص‬ ‫که‬ ‫شود‬‫های‬
‫مي‬ ‫سازمان‬ ‫اطالعات‬ ‫امنيت‬ ‫مديريت‬ ‫سيستم‬ ‫در‬ ‫اجرا‬ ‫قابل‬ ‫و‬ ‫مرتبط‬‫باشد‬.
‫يادآوري‬:‫کنترل‬ ‫و‬ ‫کنترلي‬ ‫اهداف‬‫فرآين‬ ‫و‬ ‫مخاطره‬ ‫ارزشيابي‬ ‫نتايج‬ ‫بر‬ ‫مبتني‬ ‫ها‬‫د‬‫های‬
،‫مخاطره‬ ‫با‬ ‫برخورد‬ ‫برای‬ ‫تدبير‬ ‫اتخاذ‬‫قانوني‬ ‫الزامات‬‫الزامات‬ ‫و‬ ‫قراردادی‬ ‫تعهدات‬ ،
‫مي‬ ‫اطالعات‬ ‫امنيت‬ ‫با‬ ‫رابطه‬ ‫در‬ ‫سازمان‬ ‫کار‬‫و‬‫کسب‬‫باشند‬.

Statement of Applicability
‫د‬)‫کاربرد‬ ‫بيانيه‬ ‫تهيه‬‫پذيری‬.
•‫کاربرد‬ ‫بيانيه‬ ‫تهيه‬ ‫زمان‬ ‫در‬ ‫بايد‬ ‫ذيل‬ ‫موارد‬‫مد‬ ‫پذيری‬‫مت‬ ‫در‬ ‫و‬ ‫گرفته‬ ‫قرار‬ ‫نظر‬‫گزارش‬ ‫ن‬
‫گردد‬ ‫لحاظ‬:
•‫شده‬ ‫انتخاب‬ ‫های‬ ‫کنترل‬ ‫و‬ ‫کنترل‬ ‫اهداف‬
•‫مي‬ ‫اجرا‬ ‫حاضر‬ ‫حال‬ ‫در‬ ‫که‬ ‫های‬ ‫کنترل‬ ‫و‬ ‫کنترل‬ ‫اهداف‬‫شوند‬.
•‫الف‬ ‫پيوست‬ ‫در‬ ‫ها‬ ‫کنترل‬ ‫و‬ ‫کنترل‬ ‫اهداف‬ ‫از‬ ‫يک‬ ‫هر‬ ‫حذف‬‫توجيهي‬ ‫داليل‬ ‫ذکر‬ ‫و‬ ،
‫حذف‬ ‫برای‬.
•‫يادآوري‬:‫کاربرد‬ ‫بيانيه‬‫خالصه‬ ‫دربردارنده‬ ‫پذيری‬‫ات‬ ‫به‬ ‫مربوط‬ ‫ازتصميمات‬ ‫ای‬‫خاذ‬
‫مخاطره‬ ‫با‬ ‫برخورد‬ ‫جهت‬ ‫الزم‬ ‫تدابير‬‫مي‬ ‫ها‬‫باشد‬.‫ح‬ ‫موارد‬ ‫برای‬ ‫توجيهي‬ ‫داليل‬ ‫ذکر‬‫ذف‬
‫شده‬‫مي‬ ‫حاصل‬ ‫اطمينان‬ ‫آن‬ ‫اساس‬ ‫بر‬ ‫که‬ ‫است‬ ‫کنترلي‬ ‫روش‬ ‫نوعي‬ ،‫هيچ‬ ‫که‬ ‫شود‬‫يک‬
‫نشده‬ ‫حذف‬ ‫ًا‬‫ه‬‫اشتبا‬ ‫کنترلي‬ ‫اقدامات‬ ‫از‬‫اند‬.

‫کاربرد‬ISMS
ISMS‫رود‬ ‫مي‬ ‫شمار‬ ‫به‬ ‫مديريت‬ ‫سيستم‬ ‫از‬ ‫بخشي‬.
‫يادآوری‬:‫فعاليتت‬ ، ‫ها‬ ‫مشي‬ ‫خط‬ ،‫ها‬ ‫سياست‬ ، ‫سازماني‬ ‫ساختار‬ ‫؛‬ ‫مديريت‬ ‫سيستم‬‫هتای‬
‫شود‬ ‫مي‬ ‫شامل‬ ‫را‬ ‫فرآيندها‬ ‫و‬ ‫ها‬ ‫رويه‬ ، ‫ها‬ ‫مسئوليت‬ ، ‫ريزی‬ ‫برنامه‬.

‫سازی‬ ‫پیاده‬ISO 27001
•‫پاي‬ ،‫برداری‬ ‫بهره‬ ،‫سازی‬ ‫پياده‬ ،‫ايجاد‬ ‫منظور‬ ‫به‬ ‫المللي‬ ‫بين‬ ‫استاندارد‬ ‫اين‬ ‫در‬،‫ش‬
‫ي‬ ‫از‬ ‫سازمان‬ ‫يک‬ ‫اطالعات‬ ‫امنيت‬ ‫مديريت‬ ‫سيستم‬ ‫بهبود‬ ‫و‬ ‫نگهداری‬ ،‫بازنگری‬‫ک‬
‫است‬ ‫شده‬ ‫استفاده‬ ‫فرآيندی‬ ‫رويکرد‬.
•‫مدل‬ ‫انتخاب‬PDCA‫اطال‬ ‫های‬ ‫سيستم‬ ‫و‬ ‫ها‬ ‫شبکه‬ ‫امنيت‬ ‫بر‬ ‫حاکم‬ ‫اصول‬ ‫بيانگر‬‫عاتي‬
‫روی‬ ‫از‬ ‫که‬ ‫است‬OECD‫است‬ ‫شده‬ ‫برداری‬ ‫الگو‬
• Plan
• Do
• Check
• Act

‫مداوم‬ ‫بهبود‬ ‫چرخه‬PDCA
‫ذينفعان‬‫ذينفعان‬
‫و‬ ‫الزامات‬
‫خواسته‬
‫امنیت‬ ‫هاي‬
‫اطالعات‬
‫امنیت‬
‫مديريت‬
‫شده‬
‫سیستم‬ ‫ريزي‬ ‫طرح‬
‫امنیت‬ ‫مديريت‬
‫استقرار‬ ‫و‬ ‫اجرا‬
‫سیستم‬‫مديريت‬
‫اطالعات‬ ‫امنیت‬
‫بازنگري‬ ‫و‬ ‫پايش‬
‫بهبود‬ ‫و‬ ‫اصالح‬
P
D
C
A

‫سازی‬ ‫پیاده‬ISO 27001–‫ریزی‬ ‫برنامه‬
•‫مرزهای‬ ‫و‬ ‫کاربرد‬ ‫دامنه‬ ‫تعريف‬ISMS‫سازمان‬ ‫کار‬ ‫کسب‬ ‫های‬ ‫ويژگي‬ ‫مبنای‬ ‫بر‬.‫و‬ ‫ها‬ ‫دارايي‬ ، ‫مکان‬
‫فناوری‬.
•‫مشي‬ ‫خط‬ ‫تعرف‬ISMS‫کار‬ ‫و‬ ‫کسب‬ ‫های‬ ‫ويژگي‬ ‫مبنای‬ ‫بر‬.‫مکان‬ ، ‫سازمان‬.‫آوری‬ ‫فن‬ ‫و‬ ‫ها‬ ‫دارائي‬.
•‫سازمان‬ ‫ريسک‬ ‫ارزيابي‬ ‫رويکرد‬ ‫تعريف‬(ISO/IEC TR13335-3)
•‫ريسک‬ ‫شناسايي‬(‫ها‬ ‫دارائي‬ ‫شناسايي‬.‫اموال‬ ‫های‬ ‫تهديد‬.‫ه‬ ‫تهديد‬ ‫از‬ ‫ناشي‬ ‫های‬ ‫پذيری‬ ‫آسيب‬‫ا‬.
‫بودن‬ ‫دسترس‬ ‫از‬ ‫ناشي‬ ‫های‬ ‫آسيب‬.‫بودن‬ ‫محرمانه‬.‫دارائ‬ ‫به‬ ‫دسترسي‬ ‫قابليت‬ ‫و‬ ‫يکپارچگي‬‫ها‬ ‫ي‬).
•‫ريسک‬ ‫ارزيابي‬ ‫و‬ ‫تحليل‬(‫امنيتي‬ ‫های‬ ‫نقص‬ ‫بروز‬ ‫احتمال‬ ‫و‬ ‫امنيتي‬ ‫های‬ ‫نقص‬.)
•‫ريسک‬ ‫اصالح‬ ‫برای‬ ‫هايي‬ ‫گزينه‬ ‫ارزيابي‬ ‫و‬ ‫شناسائي‬.
•‫ريسک‬ ‫اصالح‬ ‫برای‬ ‫ها‬ ‫کنترل‬ ‫و‬ ‫کنترلي‬ ‫اهداف‬ ‫انتخاب‬.
•‫پيشنهادی‬ ‫باقيمانده‬ ‫ريسک‬ ‫برای‬ ‫مديريت‬ ‫مصوبه‬ ‫دريافت‬.
•‫نمودن‬ ‫عمل‬ ‫و‬ ‫اجرا‬ ‫برای‬ ‫مديريت‬ ‫مجوز‬ ‫دريافت‬ISMS.
•‫کاربرد‬ ‫قابليت‬ ‫بيانيه‬ ‫تهيه‬

‫سازی‬ ‫پیاده‬ISO 27001-‫اجرا‬
•‫ريسک‬ ‫مديريت‬ ‫منظور‬ ‫به‬ ‫ريسک‬ ‫اصالح‬ ‫طرح‬ ‫يک‬ ‫کردن‬ ‫فرموله‬ISMS‫منابع‬ ‫تعيين‬ ‫جهت‬.
‫ها‬ ‫الويت‬ ‫و‬ ‫مسئوليتها‬.
•‫گ‬ ‫بر‬ ‫در‬ ‫که‬ ‫شده‬ ‫شناسايي‬ ‫کنترلي‬ ‫اهداف‬ ‫به‬ ‫دستيابي‬ ‫منظور‬ ‫به‬ ‫ريسک‬ ‫اصالح‬ ‫طرح‬ ‫اجرای‬‫يرنده‬
‫کنترلي‬ ‫اهداف‬ ‫تحقق‬ ‫منظور‬ ‫به‬ ‫شده‬ ‫انتخاب‬ ‫های‬ ‫کنترل‬ ‫اجرای‬ ‫مالي‬ ‫مالحظات‬.
•‫کنترلي‬ ‫اهداف‬ ‫تحقق‬ ‫منظور‬ ‫به‬ ‫شده‬ ‫انتخاب‬ ‫کنترلهای‬ ‫اجرای‬.
•‫به‬ ‫شده‬ ‫انتخاب‬ ‫های‬ ‫کنترل‬ ‫از‬ ‫گروهي‬ ‫يا‬ ‫ها‬ ‫کنترل‬ ‫بخشي‬ ‫اثر‬ ‫گيری‬ ‫اندازه‬ ‫چگونگي‬ ‫تعريف‬‫ارائه‬ ‫منظور‬
‫تجديد‬ ‫قابل‬ ‫و‬ ‫قياس‬ ‫قابل‬ ‫نتايج‬.
•‫آگاهي‬ ‫و‬ ‫آموزشي‬ ‫های‬ ‫برنامه‬ ‫اجرا‬.
•‫عمليات‬ ‫مديريت‬ISMS. .
•‫منابع‬ ‫مديريت‬ISMS.
•‫ها‬ ‫کنترل‬ ‫ديگر‬ ‫و‬ ‫اجرايي‬ ‫های‬ ‫روش‬ ‫اجرا‬.

‫سازی‬ ‫پیاده‬ISO 27001-‫کنترل‬
•‫ها‬ ‫کنترل‬ ‫ديگر‬ ‫و‬ ‫پايش‬ ‫اجرائي‬ ‫های‬ ‫روش‬ ‫اجرای‬
•‫بخشي‬ ‫اثر‬ ‫منظم‬ ‫بازنگری‬ ‫تعهد‬
•‫ب‬ ‫امنيتي‬ ‫الزامات‬ ‫اينکه‬ ‫تصديق‬ ‫منظور‬ ‫به‬ ‫ها‬ ‫کنترل‬ ‫بخشي‬ ‫اثر‬ ‫گيری‬ ‫اندازه‬‫شده‬ ‫رآورده‬
‫خير‬ ‫يا‬ ‫است‬.
•‫ريسک‬ ‫ارزيابي‬ ‫بازنگری‬.
•‫داخلي‬ ‫مميزی‬ ‫انجام‬.
•‫مديريت‬ ‫بازنگری‬ ‫به‬ ‫تعهد‬ISMS
•‫پايش‬ ‫های‬ ‫فعاليت‬ ‫های‬ ‫يافته‬ ‫گرفتن‬ ‫نظر‬ ‫در‬ ‫با‬ ‫امنيتي‬ ‫طرحهای‬ ‫نمودن‬ ‫روز‬ ‫به‬
‫بازنگری‬.
•‫عملکرد‬ ‫يا‬ ‫بخشي‬ ‫اثر‬ ‫بر‬ ‫توانند‬ ‫مي‬ ‫که‬ ‫وقايعي‬ ‫و‬ ‫اقدامات‬ ‫ثبت‬ISMS‫بگذارد‬ ‫تاثير‬

‫سازی‬ ‫پیاده‬ISO 27001-‫اقدام‬
Act
• Corrective Action
• Preventive Action
• Improvements
•‫شده‬ ‫شناسايي‬ ‫های‬ ‫بهبود‬ ‫اجرا‬
•‫شده‬ ‫آموخته‬ ‫دروس‬ ‫و‬ ‫تجارب‬ ‫اساس‬ ‫بر‬ ‫پيشگيرانه‬ ‫و‬ ‫اصالحي‬ ‫اقدامات‬ ‫انجام‬.
•‫جزئيات‬ ‫از‬ ‫سطحي‬ ‫با‬ ‫ذينفع‬ ‫های‬ ‫طرف‬ ‫تمامي‬ ‫به‬ ‫ها‬ ‫بهبود‬ ‫و‬ ‫اقدامات‬ ‫به‬ ‫مربوط‬ ‫اطالعات‬ ‫انتقال‬
‫محيطي‬ ‫شرايط‬ ‫با‬ ‫متناسب‬.
•‫ها‬ ‫بهبود‬ ‫اينکه‬ ‫از‬ ‫اطمينان‬.‫آورند‬ ‫مي‬ ‫فراهم‬ ‫را‬ ‫نظرشان‬ ‫مورد‬ ‫اهداف‬.

Annex A of ISO 27001 (ISMS Domains)
• A.5 Security policy
• A.5.1 Information security policy
• A.5.1.1 Policies for information security
– A set of policies for information security shall be defined, approved
by management, published and communicated to employees and
relevant external parties.
• A.5.1.2 Review of the information security policy
– The information security policy shall be reviewed at planned
intervals or if significant changes occur to ensure its continuing
suitability, adequacy, and effectiveness

• A.7 Human resources security
• A.7.1 Prior to employment
• A.7.1.1 Screening
– Background verification checks on all candidates for employment,
contractors, and third party users shall be carried out in
accordance with relevant laws, regulations and ethics, and
proportional to the business requirements, the classification of the
information to be accessed, and the perceived risks.

• A.7.2 During employment
• A.7.2.1 Management responsibilities
– Management shall require employees, contractors and third party
users to apply security in accordance with established policies and
procedures of the organization
• A.7.2.2 Information security awareness, education and
training
– All employees of the organization and, where relevant, contractors
and third party users shall receive appropriate awareness training
and regular updates in organizational policies and procedures, as
relevant for their job function

• A.7.2 During employment
• A.7.2.3 Disciplinary process
– There shall be a formal disciplinary process for employees who
have committed a security breach

• A.7.3 Termination or change of employment
• A.7.3.1 Termination or change of employment responsibilities
– Information security responsibilities and duties that remain valid
after termination or change of employment shall be defined,
communicated to the employee or contractor and enforced.

• A.8 Asset Management
• A.8.1 Responsibility for assets
• A.8.1.1 Inventory of assets
– Assets associated with information and information processing
facilities shall be identified and an inventory of these assets shall be
drawn up and maintained.

• A.12 Operations security
• A.12.3 Back-up
• A.12.3.1 Information backup
– Back-up copies of information and software shall be taken and
tested regularly in accordance with the agreed backup policy.

‫گواهینامه‬ISMS
‫کند‬ ‫تدوين‬ ‫خود‬ ‫برای‬ ‫را‬ ‫زير‬ ‫مستندات‬ ‫مجموعه‬ ‫بايد‬ ‫سازمان‬ ‫هر‬ ، ‫مراجع‬ ‫اساس‬ ‫بر‬
•‫اطالعات‬ ‫امنيت‬ ‫های‬ ‫سياست‬ ‫و‬ ‫راهبردها‬ ،‫اهداف‬
•‫اطالعات‬ ‫فناوری‬ ‫امنيتي‬ ‫مخاطرات‬ ‫ارزيابي‬ ‫طرح‬
•‫اطالعات‬ ‫فناوری‬ ‫امنيت‬ ‫طرح‬
•‫اطالعات‬ ‫امنيت‬ ‫حوادث‬ ‫پشتيباني‬ ‫طرح‬
•‫اطالعات‬ ‫فناوری‬ ‫های‬ ‫خرابي‬ ‫ترميم‬ ‫و‬ ‫عملکرد‬ ‫تداوم‬ ‫طرح‬
•‫اطالعات‬ ‫فناوری‬ ‫امنيت‬ ‫آموزش‬ ‫و‬ ‫انساني‬ ‫نيروی‬ ‫تربيت‬ ،‫رساني‬ ‫آگاهي‬ ‫برنامه‬

‫؟‬ ‫گرفت‬ ‫گواهینامه‬ ‫بايد‬ ‫آيا‬
‫امني‬ ‫اهميت‬ ‫ميزان‬ ‫و‬ ‫زير‬ ‫موارد‬ ‫به‬ ‫و‬ ‫است‬ ‫خصوصي‬ ‫کامال‬ ‫مورد‬ ‫اين‬ ‫در‬ ‫گيری‬ ‫تصميم‬‫در‬ ‫ت‬
‫يک‬‫دارد‬ ‫بستگي‬ ‫سازمان‬.
•‫شود‬ ‫مشخص‬ ‫امنيتي‬ ‫محدوده‬
•‫باشد‬ ‫داشته‬ ‫سازگاری‬ ‫استاندارد‬ ‫در‬ ‫مصوب‬ ‫کنترلهای‬ ‫با‬ ‫اجرا‬ ‫و‬ ‫مستندات‬.
•‫شوند‬ ‫منطقي‬ ‫توجيه‬ ‫و‬ ‫مشخص‬ ‫ها‬ ‫استثناء‬.

•‫و‬ ‫دقت‬ ‫با‬ ‫بايد‬ ‫که‬ ‫کند‬ ‫مي‬ ‫طلب‬ ‫را‬ ‫مداومي‬ ‫و‬ ‫پرزحمت‬ ‫پروسه‬ ‫نيازها‬ ‫پيش‬ ‫اجرای‬
‫دقيق‬ ‫کامال‬‫شود‬ ‫اجرا‬.
•‫دور‬ ‫فواصل‬ ‫در‬ ‫داخلي‬ ‫های‬‫ارزياب‬ ‫توسط‬ ‫مرور‬ ‫به‬ ‫نياز‬ ، ‫نيازها‬ ‫پيش‬ ‫اين‬ ‫اجرا‬ ‫برای‬‫ای‬‫ه‬
‫ارزيابان‬ ‫توسط‬ ‫بازديد‬ ‫اين‬ ‫سال‬ ‫سه‬ ‫هر‬ ‫تکرار‬ ‫و‬‫شد‬ ‫خواهد‬.
•‫ک‬ ‫بايد‬ ‫سازمان‬ ‫اهداف‬ ‫پيشبرد‬ ‫در‬ ‫آن‬ ‫بودن‬ ‫مفيد‬ ‫و‬ ‫مدرک‬ ‫اين‬ ‫اخذ‬ ‫نتايج‬ ، ‫آخر‬ ‫در‬‫امال‬
‫مدنظر‬‫گيرد‬ ‫قرار‬.
•‫مورد‬ ‫بايد‬ ‫گرفت‬ ‫خواهد‬ ‫مدرک‬ ‫اين‬ ‫اخذ‬ ‫نتيجه‬ ‫در‬ ‫سازمان‬ ‫يک‬ ‫که‬ ‫اعتباری‬ ‫البته‬‫توجه‬
‫قرارگيرد‬.
•‫گواهينامه‬ ‫اين‬ ‫اخذ‬ ‫اينکه‬ ‫تفکر‬100%‫اشتباه‬ ‫کامال‬ ‫کند‬ ‫مي‬ ‫امن‬ ‫را‬ ‫شما‬ ‫اطالعات‬
‫تنها‬ ‫و‬ ‫است‬‫قانونمن‬ ، ‫کرده‬ ‫بيني‬ ‫پيش‬ ‫زيادی‬ ‫حد‬ ‫تا‬ ‫را‬ ‫خطرات‬ ‫ايد‬ ‫شده‬ ‫قادر‬ ‫شما‬‫د‬
‫نماييد‬ ‫خنثي‬ ‫و‬ ‫نموده‬.

Likelihood
Analysis
Risk
Determination

ISO Survey 2013

‫گواهینامه‬ ‫نمونه‬

KASYS
Karbord System engineering group co.
‫سدید‬‫م‬‫ت‬‫س‬‫ی‬‫س‬‫ارربد‬‫ک‬‫ی‬‫س‬‫ند‬‫مه‬‫روه‬‫گ‬
(‫س‬‫ی‬‫س‬‫ا‬‫ک‬)
‫شماست‬ ‫فردای‬ ‫فرصت‬ ‫امروز‬ ‫بصیرت‬Today’s Insight is Tomorrow's Opportunity
Special Thanks for your kind
attentions

KASYS ISMS intro.

More Related Content

Viewers also liked

Similar to KASYS ISMS intro.

KASYS ISMS intro.