فرنود حسنی
تماس با من
پروفایل من
نویسنده (های) وبلاگ فرنود حسنی
آرشیو وبلاگ
      مدیریت فناوری اطلاعات و ارتباطات (IT Management)
استاندارد بین‌المللی20071 ISO/IEC نویسنده: فرنود حسنی - یکشنبه ٢٥ خرداد ۱۳٩۳

موسسه بین‌​المللی استاندارد[1] و کمیته بین‌​المللی فناوری‌های الکترونیکی[2] دستورالعمل‌ها و رویه‌هایی تخصصی را برای  تعریف و ایجاد استاندارد در میان تمامی کشورهای دنیا ایجاد می‌‎​کنند. کشورهایی که به عضویت این دو نهاد بین‌المللی درآمده‌اند با حضور و فعالیت در کمیته­های فنی و تخصصی، برای توسعه استانداردهای جهانی در زمینه های مختلف همکاری  می​کنند.

کمیته های فنی ISO  و IEC  نیز در مورد موضوعات مشترک همکاری بسیار نزدیکی دارند. از سوی دیگر، برخی نهادهای بین​المللی دولتی و غیردولتی که با ISO و IEC در ارتباط هستند  نیز در انجام این کار مشارکت دارند.
ISO و IEC در زمینه فناوری اطلاعات یک کمیته فنی مشترک به نام “ISO/IEC JTC1” ایجاد کرده​اندکه استانداردهای بین​المللی حوزه فناوری اطلاعات بر مبنای قوانینی تدوین می شوند که توسط این دو نهاد به تصویب رسیده باشد.

در واقع مهم​ترین وظیفه این کمیته فنی مشترک، تدوین استانداردهای بین​المللی است که پس از آن، کمیته پیش نویس استانداردهای بین­المللی را برای رای​گیری به کشورهای عضو ارسال می​کند. یک پیش نویس زمانی به عنوان استاندارد
بین​المللی منتشر می شود که رای مثبت حداقل 75 درصد اعضا را کسب کند.

استاندارد ISO/IEC 27001 به وسیله​ کمیته​ فنی مشترک ISO/IEC JTC 1، در حوزه فناوری اطلاعات و کمیته فرعی SC27 در حوزه امنیت فناوری اطلاعات تدوین شده است. نسخه حاضر، پس از بازنگری های فنی لازم به عنوان ویرایش دوم جایگزین نسخه قبلی[3] شده است.



[1] International Organization for Standardization (ISO)

[2] International Electrotechnical Commission (IEC)

[3] ISO/IEC 27001:2005

 

استاندارد           ISO/IEC

 بین‌المللی           20071

 

 

فناوری اطلاعات- تکنیک های امنیتی- سیستم های
 مدیریت امنیت اطلاعات-الزامات

  

مقدمه

  1. معرفی

0.1    کلیات

0.2    مطابقت با سایر استانداردهای سیستم مدیریت

  1. هدف
  2. منابع اصلی (الزامی)
  3. اصطلاحات و تعاریف
  4. وظایف سازمان

4.1  درک سازمان و اهداف آن

4.2  درک خواسته ها و انتظارات ذینفعان

4.3  تعیین دامنه سیستم مدیریت امنیت اطلاعات

4.4  سیستم مدیریت امنیت اطلاعات

5. رهبری

5.2    رهبری و تعهد

5.2 سیاست (خط​مشی)

5.3 نقش، مسئولیت ها و اختیارات سازمان

6 . برنامه ریزی (طراحی)

6.1     اقداماتی برای تعیین ریسک​ها و فرصت​ها

6.1.1           کلیات

6.1.2            ارزیابی ریسک امنیت اطلاعات

6.1.3           مقابله (کنترل) با ریسک امنیت اطلاعات

6.2     اهداف امنیت اطلاعات و برنامه‏هایی برای دستیابی به آنها

7         پشتیبانی

7.1     منابع

7.2    صلاحیت

7.3    هوشیاری

7.4    ارتباطات

7.5    اطلاعات مدون شده

7.5.1           کلیات

7.5.2           ایجاد و به روزآوری

7.5.3           کنترل اطلاعات مدون شده

8         عملکرد:

8.1    طراحی و کنترل عملکرد

8.2    اریابی ریسک امنیت اطلاعات

8.3    مواجهه با ریسک امنیت اطلاعات

9         ارزیابی عملکرد:

9.1    نظارت، اندازه‏گیری، تجزیه و تحلیل و ارزیابی

9.2    ممیزی داخلی

9.3    بازنگری مدیریتی

10     بهبود

10.1   عدم تطابق و اقدامات اصلاحی

10.2   بهبود مستمر

 

ضمیمه الف) اهداف کنترل منبع و کنترل گرها


دیباچه

موسسه بین​المللی استاندارد[1] و کمیته بین​المللی فناوری‌های الکترونیکی[2] دستورالعمل‌ها و رویه‌هایی تخصصی را برای  تعریف و ایجاد استاندارد در میان تمامی کشورهای دنیا ایجاد می​کنند. کشورهایی که به عضویت این دو نهاد بین‌المللی درآمده‌اند با حضور و فعالیت در کمیته­های فنی و تخصصی، برای توسعه استانداردهای جهانی در زمینه های مختلف همکاری  می​کنند.

کمیته های فنی ISO  و IEC  نیز در مورد موضوعات مشترک همکاری بسیار نزدیکی دارند. از سوی دیگر، برخی نهادهای بین​المللی دولتی و غیردولتی که با ISO و IEC در ارتباط هستند  نیز در انجام این کار مشارکت دارند.
ISO و IEC در زمینه فناوری اطلاعات یک کمیته فنی مشترک به نام “ISO/IEC JTC1” ایجاد کرده​اندکه استانداردهای بین​المللی حوزه فناوری اطلاعات بر مبنای قوانینی تدوین می شوند که توسط این دو نهاد به تصویب رسیده باشد.

در واقع مهم​ترین وظیفه این کمیته فنی مشترک، تدوین استانداردهای بین​المللی است که پس از آن، کمیته پیش نویس استانداردهای بین­المللی را برای رای​گیری به کشورهای عضو ارسال می​کند. یک پیش نویس زمانی به عنوان استاندارد
بین​المللی منتشر می شود که رای مثبت حداقل 75 درصد اعضا را کسب کند.

استاندارد ISO/IEC 27001 به وسیله​ کمیته​ فنی مشترک ISO/IEC JTC 1، در حوزه فناوری اطلاعات و کمیته فرعی SC27 در حوزه امنیت فناوری اطلاعات تدوین شده است. نسخه حاضر، پس از بازنگری های فنی لازم به عنوان ویرایش دوم جایگزین نسخه قبلی[3] شده است.

 

 

 

0         معرفی

0.1 کلیات:

این استاندارد بین‌­المللی با هدف تامین الزامات پیاده سازی، اجرا، نگهداری و بهبود مستمر یک سیستم مدیریت امنیت اطلاعات تهیه شده است. پایه‌ریزی و ایجاد یک سیستم مدیریت امنیت اطلاعات در واقع یک تصمیم راهبردی برای سازمان است. طراحی و اجرای یک سیستم مدیریت امنیت اطلاعات  تحت‌تاثیر نیازها و اهداف سازمان، چارچوب‌ها و مقرارت امنیتی، فرایند‌های سازمانی، اندازه و ساختار سازمان می‌باشد که البته احتمال تغییر تمامی عوامل تاثیرگذار را در طول زمان نباید دور از ذهن داشت.

سیستم مدیریت امنیت اطلاعات با راه‌اندازی فرآیند مدیریت ریسک، محرمانگی، یکپارچگی و در دسترس بودن اطلاعات را تضمین می​کند و  طرف​های ذینفع را از وجود مدیریت کافی بر ریسک​های موجود، مطمئن می​سازد.

نباید فراموش کرد که سیستم مدیریت امنیت اطلاعات هم بخش مهمی از فرآیندهای سازمان است و هم با این فرآیندها و ساختارهای کلان مدیریتی پیوستگی و ارتباط نزدیک دارد. مقوله امنیت اطلاعات در طراحی فرآیندها، سیستم​های اطلاعاتی و کنترل‌های داخلی یک سازمان، مدنظر قرار می‌گیرد لذا انتظار می رود پیاده سازی سیستم مدیریت امنیت اطلاعات با نیازهای سازمان هماهنگ و منطبق باشد.

این استاندارد بین​المللی به بخش​های داخلی و بیرونی سازمان کمک می کند تا به توانایی ها و امکانات موجود خود اشراف پیدا کنند و بر این اساس از نیازهایشان در زمینه امنیت اطلاعات آگاه شوند.

شایان توجه است که ترتیب ذکر شده در بیان الزامات دستیابی به این استاندارد بین​المللی، مبنای اهمیت​ و یا ترتیب اجرای آنها نیست و موارد مندرج در این فهرست، تنها به عنوان منابع مورد نیاز بیان شده​اند.

ISO/IEC 27000 توصیفی کلی از سیستم مدیریت اطلاعات و فرهنگ واژگان آن است و مرجعی برای گروه استانداردهای مدیریت امنیت اطلاعات شامل ISO/IEC27005[4] و ISO/IEC27004[5]، ISO/IEC27003[6]است که در آن به قوانین و مقرارت و تعاریف اشاره شده است.

0.2 مطابقت با سایر استانداردهای سیستم مدیریت:

این استاندارد بین​المللی، دستورالعمل​های سطح بالا، عناوین فرعی، اصطلاحات رایج و تعاریف اصلی را که در پیوست SL از دستورالعمل ISO/IEC قید شده​است، مورد استفاده قرار می​دهد و به همین جهت با سایر استانداردهای سیستم مدیریت که با پیوست   SL همخوانی دارند نیز مطابقت دارد. فرایند تعریف شده در پیوست   SL برای سازمان​هایی که بر اجرای الزامات دو یا چند استاندارد تاکید دارند اما صرفاً مایل به استفاده از یک سیستم مدیریت واحد هستند مناسب است.

 

 

 

 

 

 

 

 

 

 

فناوری اطلاعات -  تکنیکهای امنیتی - سیستمهای مدیریت امنیت اطلاعات  - الزامات

 

1         هدف

این استاندارد بین​المللی الزامات مورد نیاز برای ایجاد، پیاده سازی، نگهداری و بهبود یک سیستم مدیریت امنیت اطلاعات را به عنوان بخشی از اهداف سازمان مشخص کرده و همچنین الزامات ارزیابی و مواجهه با ریسک​ها را به عنوان بخشی از هدف سازمان ذکر می​کند. الزامات بیان شده برای دستیابی به این استاندارد بین​المللی، عمومی بوده و بدون توجه به نوع، اندازه و ماهیت در تمامی سازمان​ها، قابل اجرا هستند. بدیهی است چشم پوشی از اجرای هر کدام از الزامات ذکر شده در بخش​های 4 تا 10 برای سازمان هایی که ادعای انطباق کامل با این استانداردها را دارند غیرقابل پذیرش خواهد بود.

2         منابع اصلی (الزامی):

همه یا بخشی از مطالب اشاره شده در این سند به منابع اصلی خود ارجاع داده شده اند و توجه به آنها در هنگام اجرا ضروری است. برای منابعی که با تاریخ ذکر شده​اند، تنها نسخه اشاره شده و برای منابع فاقد تاریخ، آخرین منبع تجدید نظر شده (شامل برخی اصلاحات) قابل اجراست.

ISO/IEC27000: فناوری اطلاعات – فنون امنیتی - سیستم​های مدیریت امنیت اطلاعات – کلیات و واژگان

3         اصطلاحات و تعاریف:

به منظور دستیابی به اهداف این سند، اصطلاحات و تعاریف ارایه شده در   ISO/IEC27000  مورد استفاده قرار می گیرد.

4         وظایف سازمان:

4.1    شناخت سازمان و کارکردها و ساختار آن:

سازمان باید عوامل داخلی و خارجی که در راستای اهدافش هستند و بر دستیابی به نتایج مورد نظر از سیستم مدیریت امنیت اطلاعات تاثیر‌گذارند شناسایی کرده و مورد تحلیل قراردهد.

نکته: شناسایی این عوامل، به مساله کارکردها و ساختارهای داخلی و خارجی سازمان که در بند
 5.3.1 ایزو31000[7] توضیح داده​شده، اشاره دارد.

4.2 درک نیازها​ و انتظارات ذینفعان:

سازمان باید موارد زیر را مشخص کند:

الف) ذینفعانی که با سیستم مدیریت اطلاعات در ارتباط هستند.

ب ) الزاماتی که ذینفعان را با امنیت اطلاعات مرتبط می کند.

نکته: الزامات طرف های ذینفع ممکن است الزامات قانونی، نظارتی و تعهدات قراردادی باشد.

 

4.3    تعیین دامنه اثر و محدوده عملکرد سیستم مدیریت امنیت اطلاعات:

سازمان باید کارکردها و محدوده​ عملکردی سیستم مدیریت امنیت اطلاعات را به منظور تعیین دامنه​ اثرآن مشخص کند. در هنگام تعیین این دامنه سازمان باید موارد زیر را مورد توجه قرار دهد:

الف) مشکلات داخلی و خارجی که در بند 4.1 به آن اشاره شد.

ب ) الزاماتی که در بند 4.2 ذکر شد.

ج ) وابستگی و رابطه بین فعالیت​های اجراشده توسط سازمان و فعالیت​هایی که توسط سایر سازمان​ها انجام می​شود.

دامنه اثر سیستم مدیریت امنیت اطلاعات باید در قالب اطلاعات مستند تدوین شود و در دسترس باشد.

 

4.4 سیستم مدیریت امنیت اطلاعات:

سازمان باید مطابق با این استاندارد بین‌المللی، برنامه‌ریزی و اقدام لازم را برای ایجاد، پیاده‌سازی و نگهداری سیستم مدیریت امنیت اطلاعات صورت دهد و برای بهبود مستمر آن نیز برنامه داشته باشد.

5         رهبری:

 5.1  هدایت و حمایت متعهدانه:

مدیریت ارشد سازمان باید نسبت به اجرای سیستم مدیریت امنیت اطلاعات متعهد باشد و برای اجرای موفقیت‌آمیز آن نقش یک رهبر و حامی جدی را در سازمان به عهده گیرد.

الف) حصول اطمینان از تعیین اهداف و خط­مشی امنیت اطلاعات و سازگاری آنها با راهبردهای کلان سازمان

ب) حصول اطمینان از یکپارچگی و هم‌راستا بودن الزامات سیستم مدیریت امنیت اطلاعات با فرآیندهای سازمان

ج) حصول اطمینان از در دسترس بودن منابع مورد نیاز راه اندازی سیستم مدیریت امنیت اطلاعات

د) اطلاع رسانی در خصوص اهمیت سیستم مدیریت امنیت اطلاعات و ضرورت منطبق شدن با الزامات آن

د) حصول اطمینان از دستیابی به اهداف پیش بینی شده برای سیستم مدیریت امنیت اطلاعات

ه) هدایت و پشتیبانی از افراد به منظور کمک به اثربخشی سیستم مدیریت امنیت اطلاعات

و) توجه جدی به بهبود مستمر

ی) پشتیبانی از نقش​های مدیریتی مرتبط با هدف بهره‌مندی از حمایت آنها در هنگام اجرایی شدن سیستم مدیریت امنیت اطلاعات

 

5.2  خط­مشی:

مدیریت ارشد سازمان باید سیاستی برای امنیت اطلاعات سازمان پایه­گذاری کند که:

الف) هماهنگ و هم‌راستا با اهداف سازمان باشد.

ب) اهداف امنیت اطلاعات را پوشش دهد ( به بخش 6.2 مراجعه شود) و یا چارچوبی را برای ایجاد این اهداف مشخص کند

ج) نسبت به تامین الزامات قابل اجرای امنیت اطلاعات متعهد باشد.

د) نسبت به ایجاد بهبود مستمر در سیستم مدیریت امنیت اطلاعات متعهد باشد.

 

 

خط​ مشی امنیت اطلاعات باید:

الف) به صورت اطلاعات مستند شده در دسترس باشد.

ب) در درون سازمان منتشر و ابلاغ شود.

ج) در دسترس افراد مرتبط قرار گیرد.

 

5.3  نقش‌ها، مسئولیت​ها و اختیارات سازمان

مدیریت ارشد باید مسئولیت​ها و اختیارات مربوط به  نقش​های مرتبط با امنیت اطلاعات را تعیین و ابلاغ کند. این کار بر اساس اهداف زیر صورت می گیرد:

الف) اطمینان از انطباق سیستم مدیریت امنیت اطلاعات سازمان با الزامات این استاندارد بین​المللی

ب) تهیه گزارش‌های مناسب از عملکرد سیستم مدیریت امنیت اطلاعات و ارایه به مدیران ارشد

نکته: ممکن است مدیریت ارشد سازمان​ مسئولیت​ها و اختیاراتی را برای دریافت گزارش‌هایی در خصوص عملکرد سیستم مدیریت امنیت اطلاعات در سازمان تعریف کند.

6         برنامهریزی و طراحی

6.1    اقداماتی برای مواجه با ریسک​ها و فرصت​ها:

6.1.1 کلیات

در هنگام طراحی سیستم مدیریت امنیت اطلاعات، سازمان باید مسائلی را که در بخش 4.1 و همچنین الزاماتی را که در بخش 4.2 توضیح داده شد، در نظر گرفته و ریسک​ها و فرصت​ها را به منظور دستیابی به اهداف زیر تعیین نماید:

الف) کسب اطمینان از اینکه سیستم مدیریت امنیت اطلاعات امکان کسب نتایج مورد انتظار را به سازمان می دهد.

ب) جلوگیری و یا کاهش اثرات نامطلوب

ج) دستیابی به بهبود مستمر

 

سازمان باید در خصوص موارد زیر برنامه‌ریزی کند:

الف) فعالیت​هایی جهت تعیین ریسک​ها و فرصت​ها

ب)  چگونگی:

1)          یکپارچه‌سازی و اجرای این اقدامات با فرآیندهای سیستم مدیریت امنیت اطلاعات

2)          ارزیابی میزان اثربخشی این اقدامات

 

6.1.2            ارزیابی ریسک امنیت اطلاعات:

سازمان باید فرآیند ارزیابی ریسک امنیت اطلاعات را تعریف و اجرایی کند تا بتواند:

الف) معیارهایی برای ریسک امنیت اطلاعات ایجاد کند که شامل موارد زیر است:

1-       معیار پذیرش ریسک

2-       معیارهایی برای ارزیابی ریسک امنیت اطلاعات

ب) اطمینان حاصل کند که ارزیابی‌های مداوم ریسک امنیت اطلاعات، نتایج یکنواخت، معتبر و قابل مقایسه‌ای را تولید می‌کند.

ج) ریسک​های امنیت اطلاعات را شناسایی کند:

1)    اجرای فرآیند ارزیابی ریسک امنیت اطلاعات در محدوده سیستم مدیریت امنیت اطلاعات به منظور شناسایی ریسک​هایی مانند از بین رفتن محرمانگی، یکپارچگی و دسترس‌پذیری اطلاعات.

2)       افرادی که این ریسک‌ها متوجه آنهاست را شناسایی کند.

د) ریسک​های  امنیت اطلاعات را تحلیل کند.

1)       ارزیابی و تحلیل عواقب ناشی از بروز احتمالی ریسک​های بیان شده در بند1 از بخش ج ماده 6.1.2

2)       ارزیابی واقع بینانه از احتمال وقوع ریسک های ذکر شده در بند1 از بخش ج ماده 6.1.2

3)       تعیین سطوح ریسک

د) ریسک​های امنیت اطلاعات را ارزیابی کند.

1)       مقایسه نتایج حاصل از تجزیه و تحلیل ریسک با معیارهایی که در بخش الف از ماده 6.1.2 مشخص شده است.

2)       اولویت بندی ریسک‌های شناسایی شده در تجزیه و تحلیل برای مقابله با مخاطرات

سازمان باید مستندات مربوط به فرآیند ارزیابی ریسک امنیت اطلاعات را تهیه و نگهداری کند.

 

6.1.3 روش‌های مقابله با ریسک در امنیت اطلاعات 

سازمان باید شیوه و فرآیند مشخصی برای مواجهه با ریسک امنیت اطلاعات تعریف و اجرایی کند تا:

الف)گزینه​های مناسبی را برای کنترل ریسک امنیت اطلاعات با در نظر گرفتن نتایج ارزیابی ریسک انتخاب کند.

ب) تمامی کنترل​هایی را که برای اجرای گزینه​های مقابله​ با ریسک امنیت اطلاعات الزامی هستند، مشخص کند.

 نکته: سازمان می تواند کنترل‌ها را بر اساس نیاز یا شناسایی آنها از سایر روش‌ها طراحی و اجرا کند.

ج) کنترل​های تعیین شده در بخش ب از ماده 6.1.3 را با موارد مندرج در ضمیمه الف مقایسه نموده و عدم حذف کنترل​های ضروری را بررسی کند.

نکته1- ضمیمه الف دربرگیرنده​ یک فهرست جامع از اهداف کنترل و کنترل​هاست. ضمیمه الف به این جهت در اختیار استفاده‌کنندگان از این استاندارد بین​​المللی قرارگرفته تا اطمینان حاصل شود که از هیچ یک  از کنترل‌های ضروری چشم پوشی نخواهد شد.

نکته 2- اهداف عمده کنترل به طور ضمنی در گزینه‌های کنترلی ذکر شده اند. اهداف کنترلی و کنترل​های ذکر شده در ضمیمه الف جامع نیستند و گزینه​های کنترلی دیگر نیز می​توان به آنها اضافه کرد.

د) تهیه یک بیانیه اجرایی که شامل کنترل​های ضروری (مراجعه شود به بخش ب و ج از ماده 6.1.3)، توجیه به کارگیری آنها (فارغ از اجرا شدن یا نشدن) و همچنین توجیه عدم استفاده از کنترل‌های ذکرشده در ضمیمه الف است.

ه) تدوین یک طرح کنترل ریسک امنیت اطلاعات

و) کسب موافقت افراد فعال در زمینه ریسک با برنامه طراحی شده برای مقابله با ریسک امنیت اطلاعات و پذیرش سایر ریسک​های امنیت اطلاعات

سازمان باید اطلاعات مستندی را در زمینه فرآیند مقابله با ریسک امنیت اطلاعات را حفظ و نگهداری کند.

نکته- فرآیند ارزیابی و کنترل ریسک امنیت اطلاعات در این استاندارد بین​المللی هم راستا با اصول و دستورالعمل های مطرح شده در ایزو[8] 31000  است.

6.2. اهداف امنیت اطلاعات و برنامه‏هایی برای دستیابی به آنها

سازمان باید اهداف امنیت اطلاعات را در برنامه‌های اجرایی و سطوح مختلف و مرتبط نهادینه کند.

اهداف امنیت اطلاعات باید:

الف ) بر مبنای سیاست‌ها و خط‏مشی کلی امنیت اطلاعات باشند.

ب ) قابل اندازه گیری باشند.

ج ) الزامات کاربردی امنیت اطلاعات، ارزیابی ریسک و نتایج حاصل از کنترل ریسک را محاسبه کند.

ه ) اطلاع رسانی شود.

و) به طور مداوم به روز شود.

سازمان باید اطلاعات مستندی در مورد اهداف امنیت اطلاعات را نگهداری کند.

سازمان باید در هنگام برنامه‏ریزی در خصوص چگونگی دستیابی به اهداف امنیت اطلاعات، موارد زیر را مشخص کند:

ز) آنچه انجام خواهد شد.

ح) منابعی که مورد نیاز خواهند بود.

ط) شخصی که مسئول خواهد بود.

ی) زمان دستیابی به اهداف چه هنگام خواهد بود.

ک) نتایج چگونه ارزیابی خواهند شد.

  1. پشتیبانی

7.1 منابع:

سازمان باید منابع مورد نیاز برای استقرار، اجرا، نگهداری و بهبود مستمر سیستم مدیریت امنیت اطلاعات را پیش بینی و آماده کند.

7.2  صلاحیت:

 سازمان باید:

الف) صلاحیت‏های لازم را برای افرادی که قرار است در چارچوب این استاندارد کار کنند و عملکرد آنها بر امنیت اطلاعات تاثیر دارد، مشخص کند.

ب) اطمینان حاصل کند که افراد فعال در این کار از نظر علمی، آموزشی و تجربی صلاحیت لازم را دارا هستند.

ج) اقدامات ضروری برای کسب صلاحیت‌های لازم و سنجش اثربخشی  این اقدامات را انجام دهد.

د ) اطلاعات مستندی که این صلاحیت‌ها را تایید می کنند، نگهداری کند.

نکته: نمونه‌ای از اقدامات قابل انجام در این بخش برگزاری دوره‏های آموزشی، ارایه مشاوره‌های لازم، بازنگری و تعیین دوباره شرح وظایف کارمندان و یا استخدام و قرارداد بستن با افراد دارای صلاحیت است.

7.3  آگاهی

افرادی که تحت نظر سازمان کار می‏کنند باید نسبت به موارد زیر آگاه باشند:

الف ) سیاست امنیت اطلاعات

ب ) تاثیر مشارکت آنها در میزان اثربخشی سیستم مدیریت امنیت اطلاعات که می تواند در قالب بیان منافع حاصل از بهبود عملکرد امنیت اطلاعات بیان شود.

ج ) نتایج ناشی از عدم تطابق با الزمات سیستم مدیریت امنیت اطلاعات

 

7.4  ارتباطات

سازمان باید چارچوب‌های مربوط به ارتباطات درونی و بیرونی سیستم مدیریت امنیت اطلاعات را که شامل موارد زیر است، مشخص کند:

الف) در چه مواردی ارتباط وجود داشته باشد.

ب) چه زمانی ارتباط برقرار باشد.

ج) با چه کسی می تواند ارتباط داشته باشد.

د) چه کسی مسئول برقراری ارتباط است.

ه) فرآیندها به‌وسیله چه نوع ارتباطاتی باید تحت تاثیر قرار گیرند.

7.5  اطلاعات مستند

7.5.1  کلیات:

سیستم مدیریت امنیت اطلاعات سازمان باید شامل موارد زیر باشد:

الف) اطلاعات مستند مورد نیاز به‌وسیله این استاندارد بین‏المللی

ب) اطلاعات مستندی که توسط سازمان، برای اثربخشی سیستم مدیریت امنیت اطلاعات، ضروری تشخیص داده می شود.

نکته: حجم اطلاعات مدون شده مربوط به سیستم مدیریت امنیت اطلاعات می‏تواند از یک سازمان به سازمان دیگر به دلیل عوامل زیر، متفاوت باشد:

الف) اندازه‏ سازمان و نوع فعالیت‏ها، فرآیندها، محصولات و خدمات آن

ب) پیچیدگی فرآیندها و تعاملات بین آن‌ها

ج) صلاحیت افراد

7.5.2  ایجاد و به روزرسانی

هنگام ایجاد و به روزرسانی اطلاعات مستند، سازمان باید از موارد زیر اطمینان حاصل کند:

الف ) مشخص و کامل بودن اطلاعات (به عنوان نمونه: عنوان، تاریخ، نویسنده، شماره منابع)

ب ) ویژگی های اطلاعات از نظر شاخص هایی مانند (زبان، نسخه نرم‏افزار، ویژگی های گرافیکی) و نوع رسانه (به طور نمونه اطلاعات به صورت کاغذی است یا الکترونیک)

پ ) بازنگری و تایید مناسب و دقیق بودن اطلاعات

7.5.3 کنترل اطلاعات مدون شده

اطلاعات مستند مورد نیاز سیستم مدیریت امنیت اطلاعات و این استاندارد بین‏المللی، باید به منظور حصول اطمینان از موارد زیر کنترل شوند:

الف) در زمان و مکان مورد نیاز آماده استفاده و در دسترس هستند.

ب) به اندازه کافی در برابر عواملی همچون از بین رفتن محرمانگی، استفاده نادرست و یا دستکاری و حذف بخشی از آن مورد محافظت قرارگرفته است.

به منظور کنترل اطلاعات مستند سازمان باید فعالیت‏های زیر را انجام دهد:

ج) توزیع، دسترسی و بازیابی اطلاعات

د) ذخیره سازی و حفاظت اطلاعات

ه) کنترل تغییرات ( به عنوان نمونه کنترل نسخه های مختلف یک سند اطلاعاتی)

و) نگهداری و انتقال اطلاعات

اطلاعات مستندی که منشاء خارجی دارند و توسط سازمان برای طراحی و اجرای سیستم مدیریت امنیت اطلاعات ضروری شناخته شده اند باید به نحو مقتضی شناسایی و کنترل شوند.

نکته : منظور از «دسترسی» از یک سو اجازه رویت اطلاعات طبقه بندی شده و از سوی دیگر اجازه توامان رویت و انجام تغییر در آنهاست.

  1. عملکرد:

8.1  طراحی و کنترل عملکرد:

سازمان باید فرآیندهایی را برای رسیدن به الزامات امنیت اطلاعات، طراحی، ایجاد و کنترل کند و اقدامات توضیح داده شده در بخش 1-6 را تعیین کند. سازمان همچنین باید برنامه‌هایی برای دستیابی به اهداف امنیت اطلاعات که در بخش 2-6 توضیح داده شده، ایجاد کند.

سازمان باید اطلاعات مستندی را برای اطمینان از انجام دقیق فرآیندها بر طبق طراحی، نگهداری کند.

سازمان باید تغییرات برنامه‌ریزی شده را کنترل کرده، نتایج ناشی از تغییرات ناخواسته را بازنگری و درصورت لزوم، اقدامات ضروری برای کاهش اثرات (مخرب) آن را اجرا کند.

جزییات فرآیندهایی که از طریق پیمانکاران انجام می شوند باید برای سازمان مشخص و تحت کنترل باشند

8.2  ارزیابی ریسک امنیت اطلاعات:

سازمان باید ارزیابی ریسک امنیت اطلاعات را در فواصل زمانی از پیش برنامه‌ریزی شده و یا هنگامی که تغییرات مهم (قابل توجه) رخ می دهد به اجرا در آورده و معیارهای ایجاد شده در بخش 6.1.2  را محاسبه کند.

سازمان باید اطلاعات مستند مربوط به نتایج حاصل از ارزیابی‏های ریسک امنیت اطلاعات را ثبت و نگهداری کند.

8.3   کنترل ریسک امنیت اطلاعات

سازمان باید برنامه مشخصی برای کنترل ریسک امنیت اطلاعات تهیه کرده و نتایج کنترل ریسک امنیت اطلاعات را ارزیابی کند

 

 

 

  1. ارزیابی عملکرد:

9.1  پایش، اندازه‏گیری، تجزیه و تحلیل و ارزیابی:

سازمان باید عملکرد امنیت اطلاعات و اثربخشی سیستم مدیریت امنیت اطلاعات را ارزیابی کند و موارد زیر را مشخص کند:

الف) آنچه که باید پایش و اندازه‌گیری شود اعم از فرآیندها و کنترل‏های امنیت اطلاعات

ب) روش‏هایی که برای پایش، اندازه‏گیری، تجزیه و تحلیل و ارزیابی اطلاعات و اطمینان از اعتبار نتایج این اقدامات قابل اجرا هستند.

نکته: روش‌های انتخاب شده باید نتایج قابل مقایسه و تکرارپذیری داشته باشند تا معتبر محسوب شوند.

ج) چه زمانی پایش و اندازه‏گیری را انجام دهد.

د) چه کسی باید پایش و اندازه‏گیری را انجام دهد.

ه) چه زمانی نتایج به دست آمده از پایش و اندازه‏گیری باید مورد تجزیه و تحلیل و ارزیابی قرار گیرد.

و) چه کسی باید کار تجزیه و تحلیل و ارزیابی را انجام دهد.

سازمان باید اطلاعات مدون شده‌ای را از نتایج پایش و اندازه‏گیری‏ها نگهداری کند.

9.2  ممیزی داخلی:

سازمان باید ممیزی داخلی را در فواصل زمانی برنامه‏ریزی شده انجام دهد تا بتواند اطلاعات زیر را در مورد سیستم مدیریت امنیت اطلاعات خود به‌دست آورد :

الف) مطابقت با:

  1. الزامات سازمان برای سیستم مدیریت امنیت اطلاعات
  2. الزاماتی که بر اساس این استاندارد بین‏المللی ایجاد می شود.

ب) اجرا و نگهداری به گونه ای اثربخش

سازمان باید:

ج) یک برنامه ممیزی را طراحی، اجرا و نگهداری کند. این ممیزی شامل دوره‌ها، روش‏ها، مسئولیت‏ها، الزامات برنامه‌‏ریزی و گزارش‌دهی است. برنامه ممیزی باید فرآیندهای مورد نظر و نتایج ممیزی‏های قبلی را مد نظر قرار دهد.

د) ضوابط و محدوده را برای هر ممیزی تعریف کند.

ه) از انتخاب ممیزها و اقدامات صحیح و بی‌طرفانه آنها در فرآیند ممیزی اطمینان حاصل کند.

و) اطمینان حاصل نماید که نتایج حاصل از ممیزی‏ها به مدیران مربوطه گزارش شده ‏است.

ز) اطلاعات مستندی را به عنوان مدارک انجام ممیزی و نتایج حاصل از آن ثبت و نگهداری کند.

9.3  بازنگری مدیریتی

مدیریت ارشد سازمان باید در فواصل زمانی مناسب سیستم مدیریت امنیت اطلاعات را به منظور اطمینان از کارایی، دقت و اثربخشی مورد بازنگری و بررسی دوباره قرار دهد.

بازنگری مدیریتی باید موارد زیر را در برگیرد:

الف) وضعیت فعالیت‏ها از زمان بازنگری قبلی

ب) تغییرات در روندهای داخلی و بیرونی که با  سیستم مدیریت امنیت اطلاعات مربوط هستند.

ج) بازخورد در مورد کارایی امنیت اطلاعات از جمله روندهایی که شامل:

  1. عدم تطابق‏ها و اقدامات اصلاحی
  2. نتایج نظارت‏ها و اندازه‏گیری‏ها
  3. نتایج ممیزی‏ها
  4. تحقق اهداف امنیت اطلاعات

د) بازخورد از سوی عوامل ذینفع

ه) نتایج ارزیابی ریسک و وضعیت برنامه کنترل ریسک

و) فرصت‏های بهبود مستمر

نتیجه‏ بازنگری مدیریتی باید شامل تصمیم‌های مرتبط با فرصت‌های بهبود مستمر و هر گونه تغییر مورد نیاز در سیستم مدیریت امنیت اطلاعات باشد. سازمان باید اطلاعات مستندی را به عنوان مدارک مربوط به نتایج بازنگری‏های مدیریتی ثبت و نگهدای کند.

 

  1. بهبود

10.1 عدم تطابق و اقدامات اصلاحی

در هنگام بروز عدم تطابق، سازمان باید:

الف) با شیوه‌ای قابل اجرا به عدم تطابق واکنش نشان دهد:

  1. اقدام به کنترل و اصلاح آن کند.
  2. با نتایج و عواقب ناشی از عدم تطابق مقابله کند.

ب‌)    اقدامات لازم برای از بین بردن علل عدم تطابق را به منظور جلوگیری از وقوع آن در بخش‏های دیگر ارزیابی و پیش‌بینی کند. برای این منظور سازمان باید:

  1. عدم تطابق را بازنگری کند.
  2. دلایل عدم تطابق را مشخص کند.
  3. در ارزیابی‌ها وجود هرگونه عدم تطابق مشابه و یا امکان وقوع آن را بررسی کند.

ج) هرگونه اقدام لازم را انجام دهد.

د) اثربخشی اقدامات اصلاحی انجام شده را بررسی کند.

ه) در صورت نیاز، تغییراتی در سیستم مدیریت امنیت اطلاعات به وجود آورد.

اقدامات اصلاحی باید متناسب با اثرات ناشی از عدم تطابق باشند.

سازمان باید اطلاعات مستندی را به عنوان اسنادی برای موارد زیر ثبت و نگهداری کند:

و) ماهیت عدم تطابق‌ها و هرگونه اقدام انجام شده پس از بروز آنها

ز) نتایج هر کدام از اقدامات اصلاحی انجام شده

10.2 بهبود مستمر

سازمان باید به طور مستمر کارایی، دقت و اثربخشی سیستم مدیریت امنیت اطلاعات را بهبود بخشد.

 

 

ضمیمه الف

(اصول)

مرجع کنترلها و  اهداف کنترل

فهرست کنترل‌ها و اهداف کنترل که در جدول الف-1 آمده است به طور مستقیم از ISO/IED27002[9] تهیه شده اند. برای بندهای 5 تا 18 نیز از ماده 6.1.3 موجود در متن استفاده شده است.

جدول الف-1  کنترل‌ها و اهداف کنترل

الف.5  سیاست‏های امنیت اطلاعات

الف1.5 راهبرد مدیریت در امنیت اطلاعات

هدف: هدایت و پشتیبانی مدیریت از امنیت اطلاعات بر اساس الزامات کسب‌و‌کار و قوانین و مقررات مربوطه

کنترل
مجموعه‏ سیاست‏های سازمان در زمینه امنیت اطلاعات باید مشخص شوند و پس از تایید مدیریت به آگاهی کارکنان و عوامل مربوطه در خارج از سازمان برسند.

سیاست‏های

امنیت اطلاعات

الف 1.1.5

کنترل

سیاست‏های امنیت اطلاعات باید به صورت منظم و در زمان‌های برنامه‌ریزی شده و یا در هنگامی که تغییرات قابل توجه انجام می شوند مورد بازنگری قرار گیرند تا از کارایی، دقت و اثر بخشی آن اطمینان حاصل شود.

بازنگری در سیاست‏های

 امنیت اطلاعات

الف 2.1.5

الف.6 :سازماندهی امنیت اطلاعات

الف1.6 سازماندهی داخلی

هدف: ایجاد یک چارچوب مدیریتی برای شروع بهره برداری از امنیت اطلاعات و کنترل آن در سازمان

کنترل

تمامی مسئولیت‏های حوزه امنیت اطلاعات باید مشخص و به افراد مربوط ارجاع شده باشند.

نقش‏ها و مسئولیت‏های

امنیت اطلاعات

الف 1.1.6

کنترل

با تفکیک در مسئولیت‌ها و حوزه اختیارات باید زمینه کاهش تغییرات غیر مجاز، خطاهای غیر عمدی و سو استفاده از دارایی های سازمان را فراهم آورد.

تفکیک وظایف

الف 2.1.6

کنترل

ارتباطات مناسب با مسئولان سازمان حفظ شود.

ارتباط با مسئولان

الف 3.1.6

کنترل

باید ارتباطات مناسب با گروه‏های ذینفع و سایر متخصصان در حوزه امنیت و مجامع حرفه‏ای در این زمینه ایجاد شود.

ارتباط با

گروه‏های ذینفع

الف 4.1.6

کنترل

امنیت اطلاعات در پروژه‏ها باید بدون توجه به نوع پروژه در مدیریت پروژه مورد توجه قرار گیرد.

امنیت اطلاعات در

 مدیریت پروژه

الف 5.1.6

الف 2.6 ابزارهای همراه[10] و دورکاری

هدف: حصول اطمینان از امنیت «دورکاری» و استفاده از «ابزارهای همراه»

کنترل

سیاست و شاخص‌های پشتیبانی امنیتی باید منطبق بر نیازهای مدیریت ریسک های ناشی از استفاده از ابزارهای همراه باشد.

سیاست

ابزارهای همراه

الف 1.2.6

کنترل

سیاست و برنامه مشخصی در زمینه امنیت اطلاعات برای حفاظت از اطلاعات ذخیره شده در سرورهایی که برای دورکاری استفاده می شوند، ایجاد شده باشد.

 

دورکاری

الف 2.2.6

الف.7  امنیت منابع انسانی

الف.1.7 پیش از استخدام

هدف: حصول اطمینان از اینکه هر کدام از کارکنان و افراد طرف قرارداد سازمان از مسئولیت‌های خود در این حوزه آگاه هستند و برای مسئولیتی که به آنها سپرده شده مناسب هستند.

کنترل

سوابق تمامی داوطلبان استخدام باید مطابق با قوانین، مقررات و اصول اخلاقی بررسی شود همچنین متناسب با الزامات کسب و کار سطوح دسترسی به اطلاعات و ریسک‏های احتمالی مورد توجه قرار گیرد.

گزینش

الف 1.1.7

کنترل

در قرارداد همکاری با کارکنان و پیمانکاران باید مسئولیت‌های آنها و شرکتهایشان در قبال امنیت اطلاعات مشخص باشد.

ضوابط و شرایط استخدام

الف 2.1.7

الف 2.7 در حین استخدام و همکاری

هدف: کسب اطمینان از اینکه کارکنان و پیمانکاران نسبت به وظایف و مسئولیت‌هایشان در قبال امنیت اطلاعات آگاه هستند.

کنترل

مدیریت باید تمامی کارکنان و پیمانکاران را موظف کند تا اصول امنیت اطلاعات را مطابق با سیاست‌ها و فرآیندهای سازمان اجرا کنند.

مسئولیت‌های مدیریتی

الف 1.2.7

کنترل

تمامی کارکنان سازمان و در مواردی که لازم است پیمانکاران باید از آموزش ها و تجربه های لازم برخوردار شوند و نسبت به سیاست ها و فرآیندهای جدید در حوزه کاری خود آگاهی یابند.

آموزش، انتقال دانش و تجربه ها در زمینه امنیت اطلاعات

الف 2.2.7

کنترل

لازم است سازمان از یک فرآیند انضباطی مشخص( که به اطلاع کارکنان نیز رسیده) برخوردار باشد تا در صورت نقض امنیت اطلاعات از سوی کارکنان مورد استفاده قرار گیرد.

روند انضباطی

الف 3.2.7

الف 3.7 : خاتمه یا تغییر روند همکاری

هدف: برای حفاظت از منافع سازمان به عنوان بخشی از فرآیند خاتمه یا تغییر در همکاری

کنترل

مسئولیت‌ها و وظایف امنیت اطلاعات پس از خاتمه یا تغییر در نوع همکاری با کارکنان همچنان پا برجا هستند لذا باید جزییات آنها به اطلاع کارکنان و پیمانکاران رسانده شود.

خاتمه یا تغییر

مسئولیت های کارکنان

الف 1.3.7

الف.8  مدیریت سرمایه

الف 1.8مسئولیت در قبال دارایی‌ها

هدف: شناسایی دارایی‌های سازمان و مشخص کردن مسئولیت‌های مرتبط با محافظت از آنها

کنترل

دارایی‌هایی که شامل اطلاعات و ابزارهای پردازش اطلاعات هستند باید شناسایی و صورت این قبیل دارایی‌ها تنظیم و نگهداری شود.

صورت دارایی‌ها

الف 1.1.8

کنترل

دارایی‌ها موجود در فهرست دارایی‌ها، باید در تملک سازمان باشد.

مالکیت دارایی‌ها

الف 2.1.8

کنترل

قوانینی در مورد کاربرد مناسب اطلاعات و دارایی‌ها که با اطلاعات و ابزارهای پردازش اطلاعات مرتبط است مشخص و مستند شوند.

کاربرد مناسب دارایی‌ها

الف 3.1.8

کنترل
تمامی کارکنان و پیمانکاران موظف هستند پس از اتمام همکاری یا قراردادشان آن دسته از دارایی های سازمان را که در اختیارشان بوده است به سازمان بازگردانند.

بازگشت دارایی

الف 4.1.8

الف 2.8 طبقه‌بندی اطلاعات

هدف: کسب اطمینان از اینکه اطلاعات، بر مبنای درجه اهمیت آن‎‌ها برای سازمان، از سطح حفاظتی مناسبی برخوردار هستند.

کنترل

اطلاعات باید بر اساس ضوابطی همچون الزامات قانونی، ارزش، حساسیت های موجود نسبت به افشای غیر مجاز طبقه بندی شوند.

طبقه‌بندی اطلاعات

الف 1.2.8

کنترل

باید رویه مشخص و مناسبی بر اساس برنامه طبقه بندی اطلاعات سازمان، برای کدگذاری اطلاعات ایجاد و اجرا شود.

کدگذاری اطلاعات

الف 2.2.8

کنترل

باید دستورالعمل‌هایی برای مدیریت دارایی‌ها تهیه و اجرا شود که مطابق با طرح طبقه‌بندی اطلاعات سازمان باشد.

اداره اموال و دارایی‌ها

الف 3.2.8

الف 3.8 مدیریت ابزارهای انتشار اطلاعات

هدف: جلوگیری از افشای غیر مجاز، ویرایش، حذف و یا تخریب اطلاعات ذخیره شده بر روی ابزارهای انتشار اطلاعات

کنترل

رویه هایی برای مدیریت ابزارهای سیار انتقال اطلاعات مطابق با طرح طبقه بندی اطلاعات سازمان تعیین شوند.

مدیریت ابزارهای سیار انتقال اطلاعات

الف 1.3.8

کنترل

اطلاعات ذخیره شده در ابزارهای انتقال اطلاعات باید در زمانی که دیگر نیازی به آن‌ها نیست با استفاده از روش‌های قانونی، امحا و از دسترس خارج شوند.

امحای ابزارهای

انتقال اطلاعات

الف 2.3.8

کنترل

ابزارهای انتقال اطلاعات باید در برابر دسترسی‌های غیرمجاز، استفاده نادرست و یا ایجاد تغییرات در حین نقل و انتقال، محافظت شوند.

نقل و انتقال فیزیکی ابزارهای انتقال اطلاعات

الف 3.3.8

الف.9  کنترل دسترسی

الف.1.9 الزامات کسب و کار در کنترل دسترسی

هدف: محدود نمودن دسترسی به اطلاعات و ابزارهای پردازش اطلاعات

کنترل

باید یک سیاست کنترل دسترسی بر اساس الزامات امنیتی و کسب و کار ایجاد، مستند و به صورت دوره‌ای مورد بازنگری قرار گیرد.

سیاست کنترل دسترسی

الف 1.1.9

کنترل

کاربران باید تنها به شبکه و خدمات شبکه‌ای دسترسی داشته باشند که به طور خاص اجازه استفاده از آنها را دارا هستند.

دسترسی به شبکه و خدمات شبکه

الف 2.1.9

الف 2.9 مدیریت دسترسی کاربر

هدف: حصول اطمینان از دسترسی دارای مجوز و جلوگیری از دسترسی بدون مجوز به سیستم‌ها و خدمات

کنترل

باید یک فرآیند مشخص برای ثبت و حذف دسترسی ایجاد شود تا امکان اعطای حق دسترسی را فراهم آورد.

ثبت و حذف کاربران

الف 1.2.9

کنترل

باید یک فرایند مشخص تامین دسترسی کاربران ایجاد شود که قابل تعمیم به همه کاربران به هنگام بهره برداری از همه سیستم ها و خدمات باشد.

تأمین دسترسی به کاربر

الف 2.2.9

کنترل

اختصاص و استفاده از دسترسی‌های ویژه، باید محدود و کنترل شده باشد.

مدیریت دسترسی‌های ویژه

الف 3.2.9

کنترل

اختصاص حق استفاده از اطلاعات محرمانه باید از طریق یک فرآیند مدیریتی مشخص کنترل شود.

مدیریت استفاده کارکنان از اطلاعات محرمانه

الف 4.2.9

کنترل

مدیران ارشد باید حق دسترسی به اطلاعات در اختیار کاربران را در فواصل زمانی مختلف مورد بازنگری قرار دهند.

بازنگری در حق دسترسی کاربر

الف 5.2.9

کنترل

دسترسی همه کارکنان و پیمانکاران به اطلاعات و ابزارهای پردازش اطلاعات باید در هنگام اتمام همکاری و قرارداد آنها قطع شود و یا بر اساس تغییرات صورت گرفته، بازنگری شود.

حذف و یا تغییر در رده دسترسی

الف 6.2.9

الف 3.9  مسئولیت‌های کاربر

هدف: مسئولیت پذیری و پاسخگو بودن کارکنان در برابر حفاظت از اطلاعات مرتبط با احراز هویت آنها در دسترسی به سیستم‌های سازمان

کنترل

باید از کاربران خواسته شود سیاست‌های امنیتی سازمان را در هنگام استفاده از اطلاعات محرمانه به دقت مورد توجه قراردهند.

استفاده از اطلاعات محرمانه

الف 1.3.9

الف 4.9 کنترل سیستم و دسترسی به تجهیزات

هدف: جلوگیری از دسترسی بدون مجوز به سیستم‌ها و تجهیزات

کنترل

دسترسی به اطلاعات و ابزارها باید مطابق با خط‌مشی کنترل دسترسی‌ها، محدود شود.

محدودیت

 دسترسی به اطلاعات

الف 1.4.9

کنترل

در صورت الزام سیاست کنترل دسترسی سازمان، باید دسترسی به سیستم‌ها و ابزارها با یک رویه امن کنترل شود.

روش‌های ورود ایمن

الف 2.4.9

کنترل

سیستم مدیریت گذرواژه‌ها باید تعاملی باشد و زمینه ایجاد گذرواژه‌های مناسبی را فراهم کند.

سیستم مدیریت گذرواژه

الف 3.4.9

کنترل

استفاده از برنامه‌های کمکی که ممکن است به نظارت و کنترل سیستم و ابزارها کمک کند باید محدود و تحت نظارت کامل صورت گیرد.

استفاده از برنامه‌های مناسب جانبی

الف 4.4.9

کنترل

دسترسی به کد اصلی برنامه‌ها باید محدود شود.

کنترل دسترسی به کد  برنامه

الف 5.4.9

الف. 10 رمز نگاری

الف 1.10 کنترل‌رمزنگاری

هدف: حصول اطمینان از استفاده صحیح و موثر از رمزنگاری برای حفاظت از محرمانگی، صحت و یا یکپارچگی اطلاعات

کنترل

باید روشی برای کنترل بر مبنای رمزنگاری به منظور حفاظت از اطلاعات، به وجود آمده و اجرا شود.

سیاست‌های استفاده از کنترل‌گرهای رمزی

الف 1.1.10

کنترل

باید یک سیاست مشخص برای  استفاده، حفاظت و طول عمر کلیدهای رمزنگاری در تمام مدت استفاده از آنها ایجاد و اجرا شود.

مدیریت کلیدها

الف 2.1.10

الف.11 امنیت محیطی و فیزیکی

الف 1.11  مناطق امن

هدف: برای جلوگیری از دسترسی غیر مجاز فیزیکی، آسیب و دخالت در اطلاعات سازمان و ابزارهای پردازش اطلاعات

کنترل

پارامترهای امنیتی باید برای حفاظت از مکان‌هایی که اطلاعات حساس و حیاتی و یا ابزارهای پردازش این اطلاعات نگهداری می شوند تعریف و اجرایی شوند.

پارامترهای امنیت فیزیکی

الف 1.1.11

کنترل

محدوده‌های امنیتی باید با کنترل ورودی‌ها حفاظت شوند تا اطمینان حاصل شود که فقط افراد دارای مجوز اجازه دسترسی به این مکان ها را پیدا می کنند.

کنترل فیزیکی داده‌های ورودی

الف 2.1.11

کنترل

اصول و اقدامات لازم برای امنیت فیزیکی دفاتر، اتاق‌ها و تجهیزات باید طراحی و اجرایی شوند.

امن کردن دفاتر، اتاق‌ها و تجهیزات

الف 3.1.11

کنترل

اصول و اقدامات حفاظت فیزیکی در برابر بلایای طبیعی، اقدامات خرابکارانه و یا حوادث احتمالی باید طراحی و اجرایی شوند.

حفاظت در برابر تهدیدات برون سازمانی و محیطی

الف 4.1.11

کنترل

دستورالعمل‌های مربوط به کارکردن در محدوده های امنیتی باید طراحی و اجرایی شوند.

کارکردن در مناطق حفاظت شده

الف 5.1.11

کنترل

نقاط دسترسی مانند فضاهای بارگذاری و به اشتراک گذاری اطلاعات و سایر نقاطی که افراد بدون مجوز می‌توانند به اطلاعات دسترسی یابند، باید کاملا تحت کنترل بوده و در صورت امکان از تجهیزات پردازش اطلاعات جدا شوند تا از دسترسی‌های بدون مجوز جلوگیری شود.

فضاهای بارگذاری و تحویل اطلاعات

الف 6.1.11

الف2.11 ابزار

هدف: جلوگیری از خسارت، سرقت و یا به خطر افتادن دارایی‌ها و بروز وقفه در عملیات سازمان

کنترل

ابزارها باید به منظور کاهش ریسک ناشی از تهدیدها و خطرهای محیطی و حذف فرصت‌های دسترسی بدون مجوز از جانمایی مطلوب و حفاظت شده‌ای برخوردار باشند.

جانمایی ابزارها و حفاظت از آنها

الف 1.2.11

کنترل

ابزارها باید از آسیب های ناشی از قطع برق یا سایر اختلالات ناشی از ابزارهای پشتیبان محفاظت شوند.

تجهیزات پشتیبان

الف 2.2.11

کنترل

سیم‌های برق و شبکه که داده‌ها و یا اطلاعات را منتقل می کنند باید در مقابل خطراتی مانند قطع شدن، اختلال و یا آسیب محافظت شود.

امنیت کابل کشی ها

الف 3.2.11

کنترل

تجهیزات باید برای حصول اطمینان از در دسترس بودن مداوم و پایداری سرویس دهی به شکل صحیح نگهداری شوند.

نگهداری ابزارها

الف 4.2.11

کنترل

تجهیزات، اطلاعات و یا نرم افزارها نباید بدون اخذ تاییدیه مدیران ارشد سازمان کنار گذاشته شوند.

حذف دارایی‌ها

الف 5.2.11

کنترل

اقدامات حفاظتی باید برای دارایی‌های خارج از سازمان نیز با در نظر گرفتن ریسک‌های ناشی از کارکردن در خارج از سازمان انجام شود.

امنیت تجهیزات و دارایی های خارج از سازمان

الف 6.2.11

کنترل

تمامی تجهیزاتی که شامل قسمتی برای ذخیره اطلاعات هستند باید پیش از کنارگذاشته شدن یا استفاده مجدد توسط کاربران دیگر، مورد بررسی قرار گیرند تا اطمینان حاصل شود که اطلاعات حساس و نرم افزارهای تحت امتیاز، از روی آنها حذف شده و یا در صورت نیاز به جای امنی منتقل شده اند.

رعایت امنیت در هنگام کنارگذاشتن ابزارها یا استفاده مجدد از آنها

الف 7.2.11

کنترل

کاربران باید اطمینان حاصل کنند که تجهیزات بی حفاظت به طور مناسب محافظت شده​اند.

تجهیزات بی حفاظت

الف 8.2.11

کنترل

باید سیاست مشخصی در خصوص نظم روی میز کاربران (نسبت به کاغذها و ابزارهای سیار ذخیره سازی اطلاعات) و نظم صفحه مانیتور( نسبت به ابزارهای پردارش اطلاعات) ایجاد شود.

سیاستی برای نظم روی میز و صفحه مانیتور کاربران

الف 9.2.11

الف .12  امنیت عملیات

الف 1.12 مسئولیت‌ها و دستورالعمل های  عملیات

هدف: حصول اطمینان از عملکردهای صحیح و ایمن ابزارهای پرداش اطلاعات

کنترل

رویه‌های عملیاتی باید مستندسازی شوند و در دسترس تمام کاربرانی که به آنها نیاز پیدا می​کنند، قرار گیرند.

مستندسازی رویه های عملیاتی

الف 1.1.12

کنترل

تغییراتی در فرایندهای کسب و کار و ابزارهای پردازش اطلاعات و سیستم‌هایی که بر امنیت اطلاعات سازمان اثر دارند، باید تحت کنترل باشد.

مدیریت تغییرات

الف 2.1.12

کنترل

میزان استفاده از منابع باید پایش، تنظیم و پیش بینی شود تا از وجود ظرفیت های مورد نیاز برای عملکرد مناسب در آینده اطمینان حاصل شود.

مدیریت منابع

الف 3.1.12

کنترل

سرورهای توسعه، آزمون و عملیاتی باید از یکدیگر مجزا باشند تا میزان ریسک دسترسی غیرمجاز و یا اعمال تغییرات در محیط عملیاتی کاهش یابد.

تفکیک سرورهای توسعه، آزمون و عملیات

الف 4.1.12

الف2.12  حفاظت در برابر بدافزارها

هدف: حصول اطمینان از اینکه اطلاعات و ابزارهای پردازش اطلاعات در برابر بدافزارها محفاظت شده اند.

کنترل

تشخیص، پیشگیری و بهبود کنترل برای  محافظت در برابر نرم‌افزارهای مخرب باید بر مبنای ایجاد آگاهی در کاربران شکل گیرد.

کنترل در برابر بدافزارها

الف 1.2.12

الف3.12  تهیه نسخه پشتیبان

هدف: پیشگیری در برابر از دست دادن اطلاعات

کنترل

نسخه‌های پشتیبان اطلاعات، نرم افزار و فایل‌های سیستم باید به طور متناوب و مطابق با خط مشی پشتیبانی سازمان، تهیه و آزمایش شوند.

تهیه نسخه های پشتیبان از اطلاعات

الف 1.3.12

الف 4.12  ورود و پایش

هدف: ثبت وقایع و ایجاد مدارک

کنترل

وقایع مربوط به فعالیت‌های کاربر، خطاها و  وقایع امنیت اطلاعات باید ایجاد، نگهداری و به طور متناوب بازنگری شود.

ثبت وقایع

الف 1.4.12

کنترل

تجهیزات ثبت اطلاعات ورود و اطلاعات آنها باید در برابر دستکاری‌های احتمالی و دسترسی های غیرمجاز محافظت شوند.

حفاظت از اطلاعات ورود به سیستم

الف 2.4.12

کنترل

فعالیت‌های مدیران و کاربران سیستم باید ثبت و محافظت شده و به طور متناوب بازنگری شوند.

اطلاعات ورود مدیران و کاربران سیستم

الف 3.4.12

کنترل

ساعت تمامی سیستم‌های پردازشگر اطلاعات در یک سازمان و یا دامنه امنیتی باید از یک منبع واحد خوانده شوند.

هماهنگ سازی ساعت سیستم های مختلف

الف 1.4.12

الف 5.12  کنترل سیستم عامل ها

هدف: حصول اطمینان از یکپارچگی سیستم عامل ها

کنترل

باید دستورالعملی برای برای کنترل نصب نرم افزار بر روی سیستم عامل‌ها تهیه شود.

نصب نرم افزار روی سیستم عامل ها

الف 1.5.12

الف 6.12  مدیریت آسیب پذیری فنی

هدف: جلوگیری از وقوع آسیب‌های فنی

کنترل

داده­های مربوط به آسیب‌های فنی سیستم­های اطلاعاتی استفاده شده باید در یک مدل زمانی جمع­آوری شود و طرز واکنش سازمان به آن آسیب‌ها ارزیابی شده و مقیاس‌های مناسبی برای بیان ریسک‌های مربوطه به کار گرفته شود.

مدیریت آسیب‌های فنی

الف 1.6.12

کنترل

قوانینی برای اعمال محدودیت در نصب نرم افزار توسط کاربران باید ایجاد و اجرا شوند.

محدودیت‌هایی برای نصب نرم افزارها

الف 2.6.12

الف 7.12  ملاحظات ممیزی سیستم‌های اطلاعات

هدف: به حداقل رساندن اثرات ناشی از ممیزی فعالیت ها در سیستم عامل ها

کنترل

الزامات و فعالیت­های ممیزی شامل تایید سیستم‌عامل‌ها باید به دقت طراحی شده و به دنبال کاهش اختلالات در فرآیند کسب و کار باشند. 

کنترل­ ممیزی سیستم‌های اطلاعات

الف 1.7.12

الف .13 امنیت ارتباطات

الف1.13 مدیریت امنیت شبکه

هدف: اطمینان از محافظت اطلاعات و ابزارهای پردازش اطلاعات در شبکه ها

کنترل

به منظور حفاظت از اطلاعات در سیستم‌ها و عملکردها، تمامی شبکه ها باید مدیریت و کنترل شوند.

کنترل های شبکه

الف 1.1.13

کنترل

مکانیزم حفاظت، سطوح مختلف خدمات و الزامات مدیریتی تمامی خدمات شبکه باید مشخص شده و در موافقت­نامه خدمات شبکه درج شده باشد. این قبیل خدمات می تواند در درون سازمان و یا از منابع خارج سازمان فراهم شده باشد.

امنیت خدمات شبکه

الف 2.1.13

کنترل

گروه­های خدمات اطلاعات، کاربران و سیستم‌های اطلاعاتی باید در شبکه ها تفکیک شوند.

تفکیک شبکه

الف 3.1.13

الف 2.13  انتقال اطلاعات

هدف: ایجاد بستری امن برای انتقال اطلاعات در درون سازمان و یا بین سازمان و خارج آن

کنترل

سیاست‌ها و رویه ها و کنترل های مربوط به انتقال اطلاعات در خصوص انواع تجهیزات ارتباطی مشخص شود.

رویه و سیاست انتقال اطلاعات

الف 1.2.13

کنترل

توافق­نامه­ها باید بیانگر انتقال ایمن اطلاعات کسب و کار بین سازمان و خارج از آن باشند.

توافق های مربوط به انتقال اطلاعات

الف 2.2.13

کنترل

اطلاعاتی که از طریق مکاتبات الکترونیکی منتقل می شوند، باید به نحو مقتضی حفاظت شوند.

پیام­های الکترونیک

الف 3.2.13

کنترل

الزامات توافقات محرمانه یا سری که بر اساس نیازهای سازمان برای محافظت از اطلاعات ایجاد می شوند باید مشخص و به طور متناوب، بازنگری و مستند شوند.

توافقات محرمانه و مخفی

الف 4.2.13

       

 

الف .14 استفاده، توسعه و نگهداری سیستم

الف 1.14 الزامات امنیتی برای سیستم­های اطلاعات

هدف: حصول اطمینان از اینکه امنیت اطلاعات به عنوان بخشی پیوسته از چرخه سیستم­های اطلاعات است که این مساله شامل الزامات سیستم­های اطلاعاتی که بر روی شبکه های عمومی خدمات ارایه می دهند نیز می شود.

کنترل

الزامات مرتبط با امنیت اطلاعات باید شامل الزاماتی برای سیستم های اطلاعاتی جدیدیا بهبود سیستم­های موجود باشد.

تجزیه و تحلیل الزامات
امنیت اطلاعات

الف 1.1.14

کنترل

اطلاعات موجود در نرم افزارهای کاربردی که در شبکه­های عمومی جابه­جا می شوند باید در مقابل فعالیت­های متقلبانه، افشاگری­های غیرمجاز و دستکاری، محافظت شوند.

امنیت بخشی به خدمات کاربردی در شبکه های عمومی

الف 2.1.14

کنترل

اطلاعات موجود در تراکنش­های نرم افزارهای کاربردی باید به­منظور جلوگیری از مواردی چون ارسال­ ناقص یا اشتباه، تغییر یا افشاگری غیر مجاز، کپی شدن و یا پاسخ غیر مجاز به پیام­ها محافظت شوند.

 

محافظت از تراکنش برنامه‌های کاربردی

الف 3.1.14

الف 2.14  امنیت در فرآیندهای توسعه و پشتیبانی

هدف: حصول اطمینان از اینکه امنیت اطلاعات در جریان چرخه حیاتی سیستم­های اطلاعات، طراحی و اجرا شده است.

کنترل

قوانین مربوط به توسعه نرم‌افزار و سیستم­ها باید تدوین و در برنامه‌های توسعه سازمان مورد استفاده قرار گیرند.

سیاست امنیت در توسعه نرم‌افزار

الف1.2.14

کنترل

تغییر سیستم‌ها در جریان توسعه باید بر مبنای یک رویه مشخص از فرایندهای رسمی صورت گیرد.

رویه‌های کنترلی تغییر سیستم

الف2.2.14

کنترل

وقتی زیرساخت‌های عملیاتی تغییر می­کنند ابزارهای حیاتی کسب­وکار باید بازنگری و آزمایش شوند تا اطمینان حاصل شود که هیچ­گونه اثر مخربی بر عملکرد و یا امنیت آن نگذاشته اند.

بازنگری فنی ابزارها پس از تغییر در زیرساخت‌های عملیاتی

الف3.2.14

کنترل

ایجاد تغییر در بسته­های نرم افزاری باید بسیار ناچیز و محدود به تغییرات ضروری باشد. تمامی تغییرات باید به شکل سخت­گیرانه کنترل شوند.

محدودیت­ تغییرات در بسته‌های نرم افزاری

الف4.2.14

قوانین مهندسی سیستم­های امن باید تدوین، مستند و نگهداری شده و برای توسعه سیستم­های اطلاعات به کار روند.

فرایندهای توسعه سیستم

الف5.2.14

سازمان­ها باید یک محیط توسعه امن را برای توسعه سیستم و تجمیع تلاش­هایی که تمامی چرخه حیاتی توسعه سیستم را پوشش می­دهد، ایجاد و به شکل مناسب محافظت کنند.

محیط توسعه امن

الف6.2.14

سازمان باید بر فعالیت مربوط به توسعه سیستم­هایی که برون سپاری شده اند، نظارت کند.

برون سپاری توسعه

الف7.2.14

آزمون عملکرد امنیتی باید در جریان توسعه محصول صورت گیرد.

آزمون امنیت سیستم

الف8.2.14

برنامه­های مربوط به آزمون پذیرش سیستم و ضوابط مربوطه باید برای سیستم­های اطلاعاتی و نسخه های جدید آنها صورت گیرد.

آزمون پذیرش سیستم

الف9.2.14

الف 3.14  اطلاعات آزمون

هدف: حصول اطمینان از محافظت از داده­هایی که برای آزمایش­کردن استفاده می­شود.

داده های آزمایش­ها باید با دقت انتخاب، محافظت و انتخاب شوند.

محافظت از اطلاعات آزمون ها

الف 1.3.14

الف.15  ارتباط با تامین کنندگان

الف 1.15 امنیت در ارتباطات با تامین کنندگان

هدف: حصول اطمینان از اینکه اطلاعات سازمان در برابر تامین­کنندگانی که به آن دسترسی دارند، محافظت می­شود.

الزامات امنیت اطلاعات برای کاهش ریسک مربوط به دسترسی تامین­کنندگان به اطلاعات سازمان و یا ابزارهای پرداش اطلاعات باید مستند شود.

سیاست امنیت اطلاعات در ارتباط با تامین‌کنندگان

الف 1.1.15

تمامی الزامات امنیت اطلاعات باید ایجاد و به تایید تامین‌کنندگانی که به اطلاعات سازمان دسترسی دارند و یا زیرساخت‌های فناوری اطلاعات سازمان را ارایه می کنند و یا اطلاعات را ذخیره و منتشر می‌کنند  برسد.

اشاره به موارد امنیتی در قرارداد تامین‌کنندگان

الف 2.1.15

قرارداد منعقد شده با تامین­کنندگان باید شامل الزاماتی که ریسک‎های امنیت اطلاعات در زمینه فناوری اطلاعات و ارتباطات و زنجیره‌تامین محصول را بیان می کند، باشد.

زنجیره‌تامین فناوری اطلاعات و ارتباطات

الف 3.1.15

الف 2.15 مدیریت دریافت خدمات تامین کنندگان

هدف: کسب سطح قابل قبول از امنیت اطلاعات در خدمات دریافتی از تامین کنندگان

سازمان باید به طور متناوب، دریافت خدمات از تامین­کنندگان را مورد نظارت و بازنگری قرار دهد.

نظارت و بازنگری در خدمات تامین­کنندگان

الف 1.2.15

ایجاد تغییر در ارائه خدمات توسط تامین کنندگان که شامل نگهداری، بهینه سازی سیاست­ ها، کنترل ها و فرایندهای فعلی امنیت اطلاعات است باید با ایجاد حساب دسترسی به اطلاعات کسب و کار، سیستم ها و فرآیندهای مربوطه و ارزیابی های مجدد ریسک مدیریت شوند.

مدیریت تغییرات در خدمات تامین‌کنندگان

الف 2.2.15

الف.16  مدیریت حوادث در امنیت اطلاعات

الف 1.16 مدیریت بهبود و حوادث امنیت اطلاعات

هدف: اطمینان از یک رویکرد استوار و موثر برای مدیریت امنیت اطلاعات شامل اطلاع رسانی در زمینه وقایع امنیتی و نقاط ضعف

به منظور حصول اطمینان از واکنش سریع، اثربخش و پاسخگو در برابر  حوادث مربوط به امنیت اطلاعات باید رویه ها و مسئولیت­هایی ایجاد شوند.

رویه‌ها و مسئولیت­ها

الف 1.1.16

 

رویدادهای مربوط به امنیت اطلاعات باید از طریق درگاه­های مدیریتی مناسب و به سریع­ترین شکل ممکن گزارش شوند.

گزارش رویدادهای امنیت اطلاعات

الف 2.1.16

 

باید از تمامی کارکنان و پیمانکاران که از سیستم‌های اطلاعات و خدمات سازمان استفاده می­کنند درخواست شود تا در صورت مشاهده هرگونه ضعف در سیستم اطلاعات و یا خدمات آن را ثبت و گزارش کنند.

گزارش نقاط ضعف امنیت اطلاعات

الف 3.1.16

 

رخدادهای امنیت اطلاعات باید ارزیابی شده و در مورد قرار گرفتن آنها در طبقه بندی حوادث امنیت اطلاعات تصمیم گیری شود.

ارزیابی و تصمیم‌گیری درباره رویدادهای امنیت اطلاعات

الف 4.1.16

 

پاسخ به حوادث مرتبط با امنیت اطلاعات باید متناسب با روش­های مستند باشد.

پاسخ به حوادث امنیت اطلاعات

الف 5.1.16

 

دانش کسب شده از تحلیل حوادث امنیت اطلاعات باید برای کاهش احتمال یا اثرات حوادث آتی مورد استفاده قرار گیرد.

 درس گرفتن از حوادث امنیت اطلاعات

الف 6.1.16

 

سازمان باید روش­هایی برای شناسایی، جمع­آوری، کسب و حفظ اطلاعات که می­تواند به عنوان مدارک استفاده شوند، تعیین و اجرا کند.

جمع­آوری مدارک

الف 7.1.16

 

الف.17 ابعاد امنیت اطلاعات در مدیریت تداوم کسب ­وکار

الف 1.17 تداوم امنیت اطلاعات

هدف: تداوم امنیت اطلاعات باید در مدیریت تداوم کسب و کار  سازمان قرار گیرد.

سازمان باید الزامات خود را برای امنیت اطلاعات و تداوم مدیریت امنیت اطلاعات در شرایط سخت مانندبروز بحران یا فاجعه  مشخص کند.

طراحی تداوم امنیت اطلاعات

الف 1.1.17

 

سازمان باید فرایندها، رویه‌ها و کنترل­ها را ایجاد، مستند، اجرا و نگهداری کند تا از وجود شرایط مورد نیاز برای تداوم امنیت اطلاعات در موقعیت‌های سخت اطمینان حاصل کند.

اجرای استمرار امنیت اطلاعات

الف 2.1.17

 

سازمان باید کنترل­‌های مربوط به تداوم امنیت اطلاعات را ایجاد و در فواصل زمانی مشخص اجرا کند تا از معتبر و موثر بودن آن در شرایط سخت اطمینان حاصل کند.

شناسایی، بازنگری و ارزیابی تداوم امنیت اطلاعات

الف 3.1.17

 

الف 2.17 فراوانی ها

هدف: برای حصول اطمینان از در دسترس بودن ابزارهای پردازش اطلاعات

ابزارهای پردازش اطلاعات باید به میزان کافی موجود باشند تا الزامات مورد نیاز را انجام دهند.

در دسترس بودن ابزارهای پردازش اطلاعات

الف 1.2.17

 

الف.18  مطابقت

الف 1.18 انطباق با الزامات قانونی و قراردادی

هدف: جلوگیری از نقض تعهدات حقوقی، قانونی یا قراردادی مربوط به امنیت اطلاعات و هر نیازمندی امنیتی دیگر

تمامی قوانین، بندهای تنظیم شده، الزامات قرارداد و رویکرد سازمان برای مواجهه با آنها باید تعیین و مستند شده و برای تمامی سیستم اطلاعاتی سازمان به روز نگه داشته شود.

شناسایی قوانین قابل اجرا و الزامات مورد توافق

الف 1.1.18

 

باید روش‌های مناسبی برای اطمینان از انطباق با الزامات قانونی، مقرراتی و قراردادی مربوط به حقوق مالکیت معنوی و استفاده از محصولات نرم افزاری اختصاصی ایجاد شود.

حقوق مالکیت معنوی

الف 2.1.18

 

سوابق ثبت شده باید در برابر از بین رفتن، دستکاری شدن، تحریف شدن، دسترسی و افشاگری غیرمجاز  محافظت شوند که این امر باید مطابق با مقررات، ضوابط، قراردادها و الزامات کسب و کار باشد.

حفظ حریم خصوصی و حفاظت از اطلاعات شناسایی شخصی

الف 3.1.18

 

حفظ حریم خصوصی و اطلاعات قابل شناسایی افراد باید به عنوان یک الزام قانومی و قراردادی به اجرا درآید.

حفظ حریم خصوصی

و حفاظت از اطلاعات شناسایی شخصی

الف 4.1.18

 

کنترل­های رمزنگاری باید مطابق با تمام توافق­نامه­ها، قوانین و ضوابط مربوطه باشند.

تنظیم کنترل های رمزنگاری

الف 5.1.18

 

         

 

الف 2.18 تطابق با الزامات قانونی و قراردادی

هدف: حصول اطمینان از اینکه امنیت اطلاعات مطابق با دستورالعمل ها و سیاست های سازمان راه اندازی و اجرایی شده است.

رویکرد سازمان در اداره امنیت اطلاعات و پیاده سازی آن مشتمل بر اهداف کنترل، کنترل‌ها، خط مشی­ها، فرایندها و دستورالعمل‌ها برای امنیت اطلاعات باید به صورت مستقل و در فواصل زمانی برنامه ریزی شده و یا هنگام بروز تغییرات قابل توجه، بازنگری شود.

بررسی مستقل

امنیت اطلاعات

الف 1.2.18

مدیران باید به طور متناوب و با استفاده از خط مشی امنیتی مناسب، استانداردها و یا هرگونه الزامات امنیتی دیگر، تطابق فرایندها و رویه های اطلاعاتی را در حوزه تحت مسئولیت خود مورد بازنگری قرار دهند.

مطابقت با خط مشی و استانداردهای امنیتی

الف 2.2.18

سیستم­های اطلاعاتی باید به طور متناوب از لحاظ مطابقت با استانداردها و خط‌مشی­های امنیت اطلاعات سازمان، بازرسی شوند.

بررسی تطابق فنی

الف 3.2.18

 

 

مراجع

[1] ISO/IEC 27002:2013, Information technology — Security Techniques — Code of practice for

Information security controls

[2] ISO/IEC 27003:2010, Information technology — Security techniques — Information security

Management system implementation guidance

[3] ISO/IEC 27004:2009, Information technology — Security techniques — Information security

Management — Measurement

[4] ISO/IEC 27005:2011, Information technology — Security techniques — Information security

Risk management

[5] ISO 31000:2009, Risk management — Principles and guidelines

[6] ISO/IEC Directives, Part 1, Consolidated ISO Supplement – Procedures specific to ISO, 2012



[1] International Organization for Standardization (ISO)

[2] International Electrotechnical Commission (IEC)

[3] ISO/IEC 27001:2005

[4] ISO/IEC 27005:2011, Information technology — Security techniques — Information security

risk management

[5] ISO/IEC 27004:2009, Information technology — Security techniques — Information security

management — Measurement

[6] ISO/IEC 27003:2010, Information technology — Security techniques — Information security

management system implementation guidance

[7] ISO 31000:2009, Risk management — Principles and guidelines

[8] ISO 31000:2009, Risk management — Principles and guidelines

[9] ISO/IEC 27002:2013, Information technology — Security Techniques — Code of practice for

information security controls

[10] Mobile device

  نظرات ()
مطالب اخیر ما چطور کار می‌کنیم؟ راهنمای پرداخت قبض جریمه و سایر قبوض کاش همه مثل شیر کار کنیم شکل گیری مفهوم جدیدی از اسپانسری ورزشی در حمایت بانک سامان از والیبال ملی موردکاوی راهبردهای بانک سامان در عرصه مسئولیت‌های اجتماعی نقش کارکنان بانک در تحقق و رشد EPS روند آینده رقابت و تقسیم بازار در نظام بانکی ایران بانکداری در شبکه های اجتماعی استاندارد بین‌المللی20071 ISO/IEC چالش‌های سودآوری و رشد در سازمان‌های قائم به ذات
کلمات کلیدی وبلاگ بانکداری الکترونیکی (٢٠) مدیریت فناوری اطلاعات (۱٤) ایران (٧) مدیریت (٦) بانک (٦) برند (٥) برندسازی (٥) شبکه اجتماعی (٤) امنیت اطلاعات (٤) تجارت الکترونیکی (٤) اینترنت (٤) معرفی کتاب (٤) بازاریابی (٤) تبلیغات (۳) بانک سامان (۳) مدیریت ارتباط با مشتریان (۳) آموزش فناوری اطلاعات (۳) باشگاه مشتریان (٢) والیبال (٢) مسئولیت اجتماعی (٢) آینده نگری (٢) روابط عمومی (٢) نوروز (٢) مدیریت استراتژیک (٢) وب سایت (٢) استخدام (٢) اپل (٢) فناوری اطلاعات (٢) سازمان (٢) اقتصاد (٢) نمایشگاه (٢) هویت بصری برند (٢) ویوان نیوز (٢) re-branding (۱) نرم افزار خبرنامه الکترونیکی (۱) زنجیره تامین (۱) پرسپولیس (۱) پروژه (۱) فناوری (۱) گوگل (۱) بیمه (۱) آزادی (۱) ایرنسل (۱) انسان (۱) سود (۱) گردشگری الکترونیک (۱) رسانه های دیجیتال (۱) میهن (۱) پیام نوروزی (۱) دانمارک (۱) شبکه (۱) موتورهای جستجو (۱) زبان فارسی (۱) کسب وکار (۱) قبض (۱) brand (۱) قبض جریمه (۱) مسئولیت پذیری (۱) آینده پژوهی (۱) تخفیف (۱) سخت افزار (۱) ارسال ایمیل گروهی (۱) داده کاوی (۱) سهام (۱) هوش تجاری (۱) بانکداری (۱) استراتژی (۱) موبایل (۱) الکامپ (۱) پرداخت قبض (۱) استیو جابز (۱) eps (۱) جابز (۱) نشان تجاری (۱) بازاریابی ایمیلی (۱) بانک آینده (۱) ویوان فیس (۱) vivanface (۱) سمپلینگ (۱) حقوق فناوری اطلاعات (۱) شهرت نام تجاری (۱)
دوستان من Iran Brand News Iran Market News اخبار IT اخبار اقتصادی ایران آذر آموزش ارتباطات و مدیریت رسانه ارزش افزوده استخدام و کاریابی آگهی رایگان آموزش تجارت الکترونيک آموزش زبان انگلیسی آموزش مديريت فناوري اطلاعات ايران آي تي ايران جديد ايران مهر ايزو 9000 آينده نگر برندسازی (Branding) به انديش پایگاه جامع اطلاع رسانی مدیران پندهای مدیریت و فناوری اطلاعات تولید ناب جدیدترین اخبار فناوری اطلاعات چهارراه تبليغات خاطرات يک مدير دانشجويان IT تهران جنوب دانشجويان IT شيراز دانشجويان IT صنعتي شريف دانشجويان IT قزوين دانشجويان IT مشهد دانشجويان ايراني هلند دانشجويان فناوری اطلاعات بيرجند دکتر بزرگمهر دنياي مجازي راه حلی برای آینده راهنمای خرید کالا و خدمات روزنامه فناوران اطلاعات روزنوشت رویدادهای مدیریت و فناوری اطلاعات زرتشت زمان بی کرانه، ايران جاودانه سامانه آموزش الکترونیکی رهنما سايت و موتورهاي جستجو سورس کد سينا ديلي شرکت فناوری اطلاعات سامان شوش سيتي صنایع ۸۴ علمي و پژوهشي فرهنگ سازمانی فرهنگ لغات مدیریت و فناوری اطلاعات فرهنگ، مدیریت، و کسب و کار در ایران فناوري اطلاعات فناوری اطلاعات گرگان فناوری اطلاعات و ارتباطات فورم دانشجويان IT مشهد قوانين تجارت، کسب و کار و سرمايه گذاري كاردانان کارگاه های مدیریت و فناوری اطلاعات کامپيوتر و فناوري اطلاعات کايزن کتاب های مديريت و فناوري اطلاعات کتابهای مدیریت و فناوری اطلاعات کتب رایگان کامپیوتری کمیته علمی مدیریت دولتی کنفرانس بانکداری الکترونیکی گـــــــروه آمـــوزش ابتدایــــی گروه مديريت پارس درگاه گروه مدیریت فناوری اطلاعات گشت و گذار در اینترنت لحظه ها را با تو بودن 2 لیست قیمت ماني ثابت ماهنامه عصر فناوري اطلاعات متدولوژی شش سیگما محصولات و خدمات فناوری اطلاعات مدرسه هوشمند ایرانی مدل های موفقیت در مدیریت مديران برتر مديرستان مديريت بازرگاني مديريت تحول مديريت حلقه مفقوده مديريت دانش مديريت دانش سازماني مديريت صنايع و بهره وري مديريت کيفيت مديريت منابع انساني مديريت نوين مدیران ایران مدیریت بانکداری الکترونیکی مدیریت برتر مدیریت تجارت الکترونیک مدیریت تحول مدیریت دانش مدیریت روابط عمومی الکترونیکی مدیریت زنجيره تأمين مدیریت نگهداری و تعمیرات برپایه تجارت مدیریت نوین مرکز مشاوره مديريت مشاغل مدیریت و فناوری اطلاعات مطالب جالب پيرامون مديريت مقالات انجمن علمی مدیریت بازرگانی مقاله های علمی درباره مدیریت و اموزش مهندس عماد هنرپرور مهندسي صنايع مهندسي صنايع و مقالات دروس آن مهندسی صنايع تهران جنوب مهندسی صنایع مهندسی صنایع نشتی از افکار روزانه نگاهی بر تجارت اينترنتی نوین بانک هنر هشتم هوش مصنوعي وب سايت شخصي فرنود حسني وب نوشته های...از شهرستان دشتی وبلاگ اميد جهانشاهی وبلاگ شخصی فرنود حسنی وبلاگ فرزاد حسنی وبلاگ کارکنان بانک صادرات وبلاگ گروهی کتابداران ایران ویوان نیوز(اخبار برند) اخبار برند برند نرم افزار تولید خبرنامه الکترونیکی نرم افزار تولید خبرنامه الکترونیکی نرم افزار ارسال ایمیل گروهی نرم افزار تولید خبرنامه الکترونیکی، ایمیل مارکتینگ و ارسال ایمیل گروهی پرداخت قبض جریمه پرداخت قبض پرتال زیگور طراح قالب