استاندارد بین‌المللی20071 ISO/IEC

استاندارد           ISO/IEC

 بین‌المللی           20071

 

 

فناوری اطلاعات- تکنیک های امنیتی- سیستم های
 مدیریت امنیت اطلاعات-الزامات

  

مقدمه

  1. معرفی

0.1    کلیات

0.2    مطابقت با سایر استانداردهای سیستم مدیریت

  1. هدف
  2. منابع اصلی (الزامی)
  3. اصطلاحات و تعاریف
  4. وظایف سازمان

4.1  درک سازمان و اهداف آن

4.2  درک خواسته ها و انتظارات ذینفعان

4.3  تعیین دامنه سیستم مدیریت امنیت اطلاعات

4.4  سیستم مدیریت امنیت اطلاعات

5. رهبری

5.2    رهبری و تعهد

5.2 سیاست (خط​مشی)

5.3 نقش، مسئولیت ها و اختیارات سازمان

6 . برنامه ریزی (طراحی)

6.1     اقداماتی برای تعیین ریسک​ها و فرصت​ها

6.1.1           کلیات

6.1.2            ارزیابی ریسک امنیت اطلاعات

6.1.3           مقابله (کنترل) با ریسک امنیت اطلاعات

6.2     اهداف امنیت اطلاعات و برنامه‏هایی برای دستیابی به آنها

7         پشتیبانی

7.1     منابع

7.2    صلاحیت

7.3    هوشیاری

7.4    ارتباطات

7.5    اطلاعات مدون شده

7.5.1           کلیات

7.5.2           ایجاد و به روزآوری

7.5.3           کنترل اطلاعات مدون شده

8         عملکرد:

8.1    طراحی و کنترل عملکرد

8.2    اریابی ریسک امنیت اطلاعات

8.3    مواجهه با ریسک امنیت اطلاعات

9         ارزیابی عملکرد:

9.1    نظارت، اندازه‏گیری، تجزیه و تحلیل و ارزیابی

9.2    ممیزی داخلی

9.3    بازنگری مدیریتی

10     بهبود

10.1   عدم تطابق و اقدامات اصلاحی

10.2   بهبود مستمر

 

ضمیمه الف) اهداف کنترل منبع و کنترل گرها


دیباچه

موسسه بین​المللی استاندارد[1] و کمیته بین​المللی فناوری‌های الکترونیکی[2] دستورالعمل‌ها و رویه‌هایی تخصصی را برای  تعریف و ایجاد استاندارد در میان تمامی کشورهای دنیا ایجاد می​کنند. کشورهایی که به عضویت این دو نهاد بین‌المللی درآمده‌اند با حضور و فعالیت در کمیته­های فنی و تخصصی، برای توسعه استانداردهای جهانی در زمینه های مختلف همکاری  می​کنند.

کمیته های فنی ISO  و IEC  نیز در مورد موضوعات مشترک همکاری بسیار نزدیکی دارند. از سوی دیگر، برخی نهادهای بین​المللی دولتی و غیردولتی که با ISO و IEC در ارتباط هستند  نیز در انجام این کار مشارکت دارند.
ISO و IEC در زمینه فناوری اطلاعات یک کمیته فنی مشترک به نام “ISO/IEC JTC1” ایجاد کرده​اندکه استانداردهای بین​المللی حوزه فناوری اطلاعات بر مبنای قوانینی تدوین می شوند که توسط این دو نهاد به تصویب رسیده باشد.

در واقع مهم​ترین وظیفه این کمیته فنی مشترک، تدوین استانداردهای بین​المللی است که پس از آن، کمیته پیش نویس استانداردهای بین­المللی را برای رای​گیری به کشورهای عضو ارسال می​کند. یک پیش نویس زمانی به عنوان استاندارد
بین​المللی منتشر می شود کهرای مثبت حداقل 75 درصد اعضا را کسب کند.

استاندارد ISO/IEC 27001 به وسیله​ کمیته​ فنی مشترک ISO/IEC JTC 1، در حوزه فناوری اطلاعات و کمیته فرعی SC27 در حوزه امنیت فناوری اطلاعات تدوین شده است. نسخه حاضر، پس از بازنگری های فنی لازم به عنوان ویرایش دوم جایگزین نسخه قبلی[3] شده است.

 

 

 

0         معرفی

0.1 کلیات:

این استاندارد بین‌­المللی با هدف تامین الزامات پیاده سازی، اجرا، نگهداری و بهبود مستمر یک سیستم مدیریت امنیت اطلاعات تهیه شده است. پایه‌ریزی و ایجاد یک سیستم مدیریت امنیت اطلاعات در واقع یک تصمیم راهبردی برای سازمان است. طراحی و اجرای یک سیستم مدیریت امنیت اطلاعات  تحت‌تاثیر نیازها و اهداف سازمان، چارچوب‌ها و مقرارت امنیتی، فرایند‌های سازمانی، اندازه و ساختار سازمان می‌باشد که البته احتمال تغییر تمامی عوامل تاثیرگذار را در طول زمان نباید دور از ذهن داشت.

سیستم مدیریت امنیت اطلاعات با راه‌اندازی فرآیند مدیریت ریسک، محرمانگی، یکپارچگی و در دسترس بودن اطلاعات را تضمین می​کند و  طرف​های ذینفع را از وجود مدیریت کافی بر ریسک​های موجود، مطمئن می​سازد.

نباید فراموش کرد که سیستم مدیریت امنیت اطلاعات هم بخش مهمی از فرآیندهای سازمان است و هم با این فرآیندها و ساختارهای کلان مدیریتی پیوستگی و ارتباط نزدیک دارد. مقوله امنیت اطلاعات در طراحی فرآیندها، سیستم​های اطلاعاتی و کنترل‌های داخلی یک سازمان، مدنظر قرار می‌گیرد لذا انتظار می رود پیاده سازی سیستم مدیریت امنیت اطلاعات با نیازهای سازمان هماهنگ و منطبق باشد.

این استاندارد بین​المللی به بخش​های داخلی و بیرونی سازمان کمک می کند تا به توانایی ها و امکانات موجود خود اشراف پیدا کنند و بر این اساس از نیازهایشان در زمینه امنیت اطلاعات آگاه شوند.

شایان توجه است که ترتیب ذکر شده در بیان الزامات دستیابی به این استاندارد بین​المللی، مبنای اهمیت​ و یا ترتیب اجرای آنها نیست و موارد مندرج در این فهرست، تنها به عنوان منابع مورد نیاز بیان شده​اند.

ISO/IEC 27000 توصیفی کلی از سیستم مدیریت اطلاعات و فرهنگ واژگان آن است و مرجعی برای گروه استانداردهای مدیریت امنیت اطلاعات شامل ISO/IEC27005[4] و ISO/IEC27004[5]، ISO/IEC27003[6]است که در آن به قوانین و مقرارت و تعاریف اشاره شده است.

0.2 مطابقت با سایر استانداردهای سیستم مدیریت:

این استاندارد بین​المللی، دستورالعمل​های سطح بالا، عناوین فرعی، اصطلاحات رایج و تعاریف اصلی را که در پیوست SL از دستورالعمل ISO/IEC قید شده​است، مورد استفاده قرار می​دهد و به همین جهت با سایر استانداردهای سیستم مدیریت که با پیوست   SL همخوانی دارند نیز مطابقت دارد. فرایند تعریف شده در پیوست   SL برای سازمان​هایی که بر اجرای الزامات دو یا چند استاندارد تاکید دارند اما صرفاً مایل به استفاده از یک سیستم مدیریت واحد هستند مناسب است.

 

 

 

 

 

 

 

 

 

 

فناوری اطلاعات -  تکنیکهای امنیتی - سیستمهای مدیریت امنیت اطلاعات  - الزامات

 

1         هدف

این استاندارد بین​المللی الزامات مورد نیاز برای ایجاد، پیاده سازی، نگهداری و بهبود یک سیستم مدیریت امنیت اطلاعات را به عنوان بخشی از اهداف سازمان مشخص کرده و همچنین الزامات ارزیابی و مواجهه با ریسک​ها را به عنوان بخشی از هدف سازمان ذکر می​کند. الزامات بیان شده برای دستیابی به این استاندارد بین​المللی، عمومی بوده و بدون توجه به نوع، اندازه و ماهیت در تمامی سازمان​ها، قابل اجرا هستند. بدیهی است چشم پوشی از اجرای هر کدام از الزامات ذکر شده در بخش​های 4 تا 10 برای سازمان هایی که ادعای انطباق کامل با این استانداردها را دارند غیرقابل پذیرش خواهد بود.

2         منابع اصلی (الزامی):

همه یا بخشی از مطالب اشاره شده در این سند به منابع اصلی خود ارجاع داده شده اند و توجه به آنها در هنگام اجرا ضروری است. برای منابعی که با تاریخ ذکر شده​اند، تنها نسخه اشاره شده و برای منابع فاقد تاریخ، آخرین منبع تجدید نظر شده (شامل برخی اصلاحات) قابل اجراست.

ISO/IEC27000: فناوری اطلاعات – فنون امنیتی - سیستم​های مدیریت امنیت اطلاعات – کلیات و واژگان

3         اصطلاحات و تعاریف:

به منظور دستیابی به اهداف این سند، اصطلاحات و تعاریف ارایه شده در   ISO/IEC27000  مورد استفاده قرار می گیرد.

4         وظایف سازمان:

4.1    شناخت سازمان و کارکردها و ساختار آن:

سازمان باید عوامل داخلی و خارجی که در راستای اهدافش هستند و بر دستیابی به نتایج مورد نظر از سیستم مدیریت امنیت اطلاعات تاثیر‌گذارند شناسایی کرده و مورد تحلیل قراردهد.

نکته: شناسایی این عوامل، به مساله کارکردها و ساختارهای داخلی و خارجی سازمان که در بند
 5.3.1 ایزو31000[7] توضیح داده​شده، اشاره دارد.

4.2 درک نیازها​ و انتظارات ذینفعان:

سازمان باید موارد زیر را مشخص کند:

الف) ذینفعانی که با سیستم مدیریت اطلاعات در ارتباط هستند.

ب ) الزاماتی که ذینفعان را با امنیت اطلاعات مرتبط می کند.

نکته: الزامات طرف های ذینفع ممکن است الزامات قانونی، نظارتی و تعهدات قراردادی باشد.

 

4.3    تعیین دامنه اثر و محدوده عملکرد سیستم مدیریت امنیت اطلاعات:

سازمان باید کارکردها و محدوده​ عملکردی سیستم مدیریت امنیت اطلاعات را به منظور تعیین دامنه​ اثرآن مشخص کند. در هنگام تعیین این دامنه سازمان باید موارد زیر را مورد توجه قرار دهد:

الف) مشکلات داخلی و خارجی که در بند 4.1 به آن اشاره شد.

ب ) الزاماتی که در بند 4.2 ذکر شد.

ج ) وابستگی و رابطه بین فعالیت​های اجراشده توسط سازمان و فعالیت​هایی که توسط سایر سازمان​ها انجام می​شود.

دامنه اثر سیستم مدیریت امنیت اطلاعات باید در قالب اطلاعات مستند تدوین شود و در دسترس باشد.

 

4.4 سیستم مدیریت امنیت اطلاعات:

سازمان باید مطابق با این استاندارد بین‌المللی، برنامه‌ریزی و اقدام لازم را برای ایجاد، پیاده‌سازی و نگهداری سیستم مدیریت امنیت اطلاعات صورت دهد و برای بهبود مستمر آن نیز برنامه داشته باشد.

5         رهبری:

 5.1  هدایت و حمایت متعهدانه:

مدیریت ارشد سازمان باید نسبت به اجرای سیستم مدیریت امنیت اطلاعات متعهد باشد و برای اجرای موفقیت‌آمیز آن نقش یک رهبر و حامی جدی را در سازمان به عهده گیرد.

الف) حصول اطمینان از تعیین اهداف و خط­مشی امنیت اطلاعات و سازگاری آنها با راهبردهای کلان سازمان

ب) حصول اطمینان از یکپارچگی و هم‌راستا بودن الزامات سیستم مدیریت امنیت اطلاعات با فرآیندهای سازمان

ج) حصول اطمینان از در دسترس بودن منابع مورد نیاز راه اندازی سیستم مدیریت امنیت اطلاعات

د) اطلاع رسانی در خصوص اهمیت سیستم مدیریت امنیت اطلاعات و ضرورت منطبق شدن با الزامات آن

د) حصول اطمینان از دستیابی به اهداف پیش بینی شده برای سیستم مدیریت امنیت اطلاعات

ه) هدایت و پشتیبانی از افراد به منظور کمک به اثربخشی سیستم مدیریت امنیت اطلاعات

و) توجه جدی به بهبود مستمر

ی) پشتیبانی از نقش​های مدیریتی مرتبط با هدف بهره‌مندی از حمایت آنها در هنگام اجرایی شدن سیستم مدیریت امنیت اطلاعات

 

5.2  خط­مشی:

مدیریت ارشد سازمان باید سیاستی برای امنیت اطلاعات سازمان پایه­گذاری کند که:

الف) هماهنگ و هم‌راستا با اهداف سازمان باشد.

ب) اهداف امنیت اطلاعات را پوشش دهد ( به بخش 6.2 مراجعه شود) و یا چارچوبی را برای ایجاد این اهداف مشخص کند

ج) نسبت به تامین الزامات قابل اجرای امنیت اطلاعات متعهد باشد.

د) نسبت به ایجاد بهبود مستمر در سیستم مدیریت امنیت اطلاعات متعهد باشد.

 

 

خط​ مشی امنیت اطلاعات باید:

الف) به صورت اطلاعات مستند شده در دسترس باشد.

ب) در درون سازمان منتشر و ابلاغ شود.

ج) در دسترس افراد مرتبط قرار گیرد.

 

5.3  نقش‌ها، مسئولیت​ها و اختیارات سازمان

مدیریت ارشد باید مسئولیت​ها و اختیارات مربوط به  نقش​های مرتبط با امنیت اطلاعات را تعیین و ابلاغ کند. این کار بر اساس اهداف زیر صورت می گیرد:

الف) اطمینان از انطباق سیستم مدیریت امنیت اطلاعات سازمان با الزامات این استاندارد بین​المللی

ب) تهیه گزارش‌های مناسب از عملکرد سیستم مدیریت امنیت اطلاعات و ارایه به مدیران ارشد

نکته: ممکن است مدیریت ارشد سازمان​ مسئولیت​ها و اختیاراتی را برای دریافت گزارش‌هایی در خصوص عملکرد سیستم مدیریت امنیت اطلاعات در سازمان تعریف کند.

6         برنامهریزی و طراحی

6.1    اقداماتی برای مواجه با ریسک​ها و فرصت​ها:

6.1.1 کلیات

در هنگام طراحی سیستم مدیریت امنیت اطلاعات، سازمان باید مسائلی را که در بخش 4.1 و همچنین الزاماتی را که در بخش 4.2 توضیح داده شد، در نظر گرفته و ریسک​ها و فرصت​ها را به منظور دستیابی به اهداف زیر تعیین نماید:

الف) کسب اطمینان از اینکه سیستم مدیریت امنیت اطلاعات امکان کسب نتایج مورد انتظار را به سازمان می دهد.

ب) جلوگیری و یا کاهش اثرات نامطلوب

ج) دستیابی به بهبود مستمر

 

سازمان باید در خصوص موارد زیر برنامه‌ریزی کند:

الف) فعالیت​هایی جهت تعیین ریسک​ها و فرصت​ها

ب)  چگونگی:

1)          یکپارچه‌سازی و اجرای این اقدامات با فرآیندهای سیستم مدیریت امنیت اطلاعات

2)          ارزیابی میزان اثربخشی این اقدامات

 

6.1.2            ارزیابی ریسک امنیت اطلاعات:

سازمان باید فرآیند ارزیابی ریسک امنیت اطلاعات را تعریف و اجرایی کند تا بتواند:

الف) معیارهایی برای ریسک امنیت اطلاعات ایجاد کند که شامل موارد زیر است:

1-       معیار پذیرش ریسک

2-       معیارهایی برای ارزیابی ریسک امنیت اطلاعات

ب) اطمینان حاصل کند که ارزیابی‌های مداوم ریسک امنیت اطلاعات، نتایج یکنواخت، معتبر و قابل مقایسه‌ای را تولید می‌کند.

ج) ریسک​های امنیت اطلاعات را شناسایی کند:

1)    اجرای فرآیند ارزیابی ریسک امنیت اطلاعات در محدوده سیستم مدیریت امنیت اطلاعات به منظور شناسایی ریسک​هایی مانند از بین رفتن محرمانگی، یکپارچگی و دسترس‌پذیری اطلاعات.

2)       افرادی که این ریسک‌ها متوجه آنهاست را شناسایی کند.

د) ریسک​های  امنیت اطلاعات را تحلیل کند.

1)       ارزیابی و تحلیل عواقب ناشی از بروز احتمالی ریسک​های بیان شده در بند1 از بخش ج ماده 6.1.2

2)       ارزیابی واقع بینانه از احتمال وقوع ریسک های ذکر شده در بند1 از بخش ج ماده 6.1.2

3)       تعیین سطوح ریسک

د) ریسک​های امنیت اطلاعات را ارزیابی کند.

1)       مقایسه نتایج حاصل از تجزیه و تحلیل ریسک با معیارهایی که در بخش الف از ماده 6.1.2 مشخص شده است.

2)       اولویت بندی ریسک‌های شناسایی شده در تجزیه و تحلیل برای مقابله با مخاطرات

سازمان باید مستندات مربوط به فرآیند ارزیابی ریسک امنیت اطلاعات را تهیه و نگهداری کند.

 

6.1.3 روش‌های مقابله با ریسک در امنیت اطلاعات 

سازمان باید شیوه و فرآیند مشخصی برای مواجهه با ریسک امنیت اطلاعات تعریف و اجرایی کند تا:

الف)گزینه​های مناسبی را برای کنترل ریسک امنیت اطلاعات با در نظر گرفتن نتایج ارزیابی ریسک انتخاب کند.

ب) تمامی کنترل​هایی را که برای اجرای گزینه​های مقابله​ با ریسک امنیت اطلاعات الزامی هستند، مشخص کند.

 نکته: سازمان می تواند کنترل‌ها را بر اساس نیاز یا شناسایی آنها از سایر روش‌ها طراحی و اجرا کند.

ج) کنترل​های تعیین شده در بخش ب از ماده 6.1.3 را با موارد مندرج در ضمیمه الف مقایسه نموده و عدم حذف کنترل​های ضروری را بررسی کند.

نکته1- ضمیمه الف دربرگیرنده​ یک فهرست جامع از اهداف کنترل و کنترل​هاست. ضمیمه الف به این جهت در اختیار استفاده‌کنندگان از این استاندارد بین​​المللی قرارگرفته تا اطمینان حاصل شود که از هیچ یک  از کنترل‌های ضروری چشم پوشی نخواهد شد.

نکته 2- اهداف عمده کنترل به طور ضمنی در گزینه‌های کنترلی ذکر شده اند. اهداف کنترلی و کنترل​های ذکر شده در ضمیمه الف جامع نیستند و گزینه​های کنترلی دیگر نیز می​توان به آنها اضافه کرد.

د) تهیه یک بیانیه اجرایی که شامل کنترل​های ضروری (مراجعه شود به بخش ب و ج از ماده 6.1.3)، توجیه به کارگیری آنها (فارغ از اجرا شدن یا نشدن) و همچنین توجیه عدم استفاده از کنترل‌های ذکرشده در ضمیمه الف است.

ه) تدوین یک طرح کنترل ریسک امنیت اطلاعات

و) کسب موافقت افراد فعال در زمینه ریسک با برنامه طراحی شده برای مقابله با ریسک امنیت اطلاعات و پذیرش سایر ریسک​های امنیت اطلاعات

سازمان باید اطلاعات مستندی را در زمینه فرآیند مقابله با ریسک امنیت اطلاعات را حفظ و نگهداری کند.

نکته- فرآیند ارزیابی و کنترل ریسک امنیت اطلاعات در این استاندارد بین​المللی هم راستا با اصول و دستورالعمل های مطرح شده در ایزو[8] 31000  است.

6.2. اهداف امنیت اطلاعات و برنامه‏هایی برای دستیابی به آنها

سازمان باید اهداف امنیت اطلاعات را در برنامه‌های اجرایی و سطوح مختلف و مرتبط نهادینه کند.

اهداف امنیت اطلاعات باید:

الف ) بر مبنای سیاست‌ها و خط‏مشی کلی امنیت اطلاعات باشند.

ب ) قابل اندازه گیری باشند.

ج ) الزامات کاربردی امنیت اطلاعات، ارزیابی ریسک و نتایج حاصل از کنترل ریسک را محاسبه کند.

ه ) اطلاع رسانی شود.

و) به طور مداوم به روز شود.

سازمان باید اطلاعات مستندی در مورد اهداف امنیت اطلاعات را نگهداری کند.

سازمان باید در هنگام برنامه‏ریزی در خصوص چگونگی دستیابی به اهداف امنیت اطلاعات، موارد زیر را مشخص کند:

ز) آنچه انجام خواهد شد.

ح) منابعی که مورد نیاز خواهند بود.

ط) شخصی که مسئول خواهد بود.

ی) زمان دستیابی به اهداف چه هنگام خواهد بود.

ک) نتایج چگونه ارزیابی خواهند شد.

  1. پشتیبانی

7.1 منابع:

سازمان باید منابع مورد نیاز برای استقرار، اجرا، نگهداری و بهبود مستمر سیستم مدیریت امنیت اطلاعات را پیش بینی و آماده کند.

7.2  صلاحیت:

 سازمان باید:

الف) صلاحیت‏های لازم را برای افرادی که قرار است در چارچوب این استاندارد کار کنند و عملکرد آنها بر امنیت اطلاعات تاثیر دارد، مشخص کند.

ب) اطمینان حاصل کند که افراد فعال در این کار از نظر علمی، آموزشی و تجربی صلاحیت لازم را دارا هستند.

ج) اقدامات ضروری برای کسب صلاحیت‌های لازم و سنجش اثربخشی  این اقدامات را انجام دهد.

د ) اطلاعات مستندی که این صلاحیت‌ها را تایید می کنند، نگهداری کند.

نکته: نمونه‌ای از اقدامات قابل انجام در این بخش برگزاری دوره‏های آموزشی، ارایه مشاوره‌های لازم، بازنگری و تعیین دوباره شرح وظایف کارمندان و یا استخدام و قرارداد بستن با افراد دارای صلاحیت است.

7.3  آگاهی

افرادی که تحت نظر سازمان کار می‏کنند باید نسبت به موارد زیر آگاه باشند:

الف ) سیاست امنیت اطلاعات

ب ) تاثیر مشارکت آنها در میزان اثربخشی سیستم مدیریت امنیت اطلاعات که می تواند در قالب بیان منافع حاصل از بهبود عملکرد امنیت اطلاعات بیان شود.

ج ) نتایج ناشی از عدم تطابق با الزمات سیستم مدیریت امنیت اطلاعات

 

7.4  ارتباطات

سازمان باید چارچوب‌های مربوط به ارتباطات درونی و بیرونی سیستم مدیریت امنیت اطلاعات را که شامل موارد زیر است، مشخص کند:

الف) در چه مواردی ارتباط وجود داشته باشد.

ب) چه زمانی ارتباط برقرار باشد.

ج) با چه کسی می تواند ارتباط داشته باشد.

د) چه کسی مسئول برقراری ارتباط است.

ه) فرآیندها به‌وسیله چه نوع ارتباطاتی باید تحت تاثیر قرار گیرند.

7.5  اطلاعات مستند

7.5.1  کلیات:

سیستم مدیریت امنیت اطلاعات سازمان باید شامل موارد زیر باشد:

الف) اطلاعات مستند مورد نیاز به‌وسیله این استاندارد بین‏المللی

ب) اطلاعات مستندی که توسط سازمان، برای اثربخشی سیستم مدیریت امنیت اطلاعات، ضروری تشخیص داده می شود.

نکته: حجم اطلاعات مدون شده مربوط به سیستم مدیریت امنیت اطلاعات می‏تواند از یک سازمان به سازمان دیگر به دلیل عوامل زیر، متفاوت باشد:

الف) اندازه‏ سازمان و نوع فعالیت‏ها، فرآیندها، محصولات و خدمات آن

ب) پیچیدگی فرآیندها و تعاملات بین آن‌ها

ج) صلاحیت افراد

7.5.2  ایجاد و به روزرسانی

هنگام ایجاد و به روزرسانی اطلاعات مستند، سازمان باید از موارد زیر اطمینان حاصل کند:

الف ) مشخص و کامل بودن اطلاعات (به عنوان نمونه: عنوان، تاریخ، نویسنده، شماره منابع)

ب ) ویژگی های اطلاعات از نظر شاخص هایی مانند (زبان، نسخه نرم‏افزار، ویژگی های گرافیکی) و نوع رسانه (به طور نمونه اطلاعات به صورت کاغذی است یا الکترونیک)

پ ) بازنگری و تایید مناسب و دقیق بودن اطلاعات

7.5.3 کنترل اطلاعات مدون شده

اطلاعات مستند مورد نیاز سیستم مدیریت امنیت اطلاعات و این استاندارد بین‏المللی، باید به منظور حصول اطمینان از موارد زیر کنترل شوند:

الف) در زمان و مکان مورد نیاز آماده استفاده و در دسترس هستند.

ب) به اندازه کافی در برابر عواملی همچون از بین رفتن محرمانگی، استفاده نادرست و یا دستکاری و حذف بخشی از آن مورد محافظت قرارگرفته است.

به منظور کنترل اطلاعات مستند سازمان باید فعالیت‏های زیر را انجام دهد:

ج) توزیع، دسترسی و بازیابی اطلاعات

د) ذخیره سازی و حفاظت اطلاعات

ه) کنترل تغییرات ( به عنوان نمونه کنترل نسخه های مختلف یک سند اطلاعاتی)

و) نگهداری و انتقال اطلاعات

اطلاعات مستندی که منشاء خارجی دارند و توسط سازمان برای طراحی و اجرای سیستم مدیریت امنیت اطلاعات ضروری شناخته شده اند باید به نحو مقتضی شناسایی و کنترل شوند.

نکته : منظور از «دسترسی» از یک سو اجازه رویت اطلاعات طبقه بندی شده و از سوی دیگر اجازه توامان رویت و انجام تغییر در آنهاست.

  1. عملکرد:
/ 0 نظر / 208 بازدید