آشنايی با ISMS

صفحه 1:
۱ ۱ 5 ل اصلاح الگوی مصرف ۹ ۳ 

صفحه 2:
os > 2 ۰ آشنيي با 505 نحص رنه : ‎be faa‏ جبه ازی: ۰ ‎+s‏ ا ‎no‏ 

صفحه 3:
0 چسة سیستم مديريت امنيت اطلاعات يا مص 3) بده (1) بقسدس8) «قددد جه سيستمي براي بياده ي کنترل هاي امنيتيقی با كه با برقراري رتساخت هاي مورد نياز ايمني اطلاعات را تضمين مي نماید. مدل 1 ري است كه در بباده سازي )200 بكار برده مي شود و 1000000 زيربناي ۵۵ امي باشد . 09۳00( حفاظت از اطلاعات را در سه مفهوم خاصيعني قابل اطمینان بودن اطلاعات ‎g (Jechiel)‏ صحت اطلاعات (,وبسه۱) و در دسترس بودن اطلاعات (,0/۸4۶) تعریف مي کند براي داشتن سازماني با برنامه و اده آل » هدفمند کردت ]لا ها براي رسیدن به حداکثر امن ۲ 1 امري است که بايد مدا أقرار كيرد = 1 استاندارد 263/۳1620 راهكاري است که اطلاعات سازمان و شرکتِ را دسته بندي و ارزش گذاري کرده و با ایجاد سياستهاي متناسب با سازمان و همچنین پیاده سازی 127 کنترل مختلف» اطلاعات سازمان را ایمن مي سازد. این اطلاعات نه تنها داده های کامپيوتري و اطلاعات سور ها بلکه کلیه موارد حتي نگهبان سازمان يا شركت رادر نظر خواهد كرفت ‎٠‏ 

صفحه 4:
آيا امنيت 90100 امکانپذ بر است؟ با پیشرفت علوم کامپيوتري و همچنین بوجود آمدن ابزارهاي جدید سا "و ‎3-٠‏ و همجنين وجود صدها مشکل ناخواسته در طراحَترّافزاز‌هاق متختلف و روالهاي امنب: ی دسترسي افراد غیرمجاژ وجود دارد. حتي قوي ترین سايتقاي موجود ذر دنبا در معرض خطر افراد غیرمجاز و سودجو قرار دارفك. ولي آيا جون نمي توان امنيت 0 داشت بايد به نکات امنيتي و ایجاد سياستهاي مختلف ۱ استاندارد ۸600 "202 قالبی مطمئن براي داشتن یک سیستم مورد اطمینان امنيتي مي باشد. در زیر به تعدادي از فوائد پیاده سازي این استاندارد آشاره شده است : - اطمینان از تداوم تجارت و کاهش صدمات ‎GEL Garten)‏ اطلاعات و کاهش تهدیدها اطمينان از سازكاري با استاندارد امثبت اطلاعات و محافظت از داده ها - قابل اطمینان کردن تضمیم گيري ها و محک زدن سیستم مدیریت اعنیت اطلاعات )نید بخاطر مشکلات امنيتي اطلاعات و ایده 73 خود را در ‎okie le‏ با ساخت( 

صفحه 5:
مراحل ایجاد سیستم مدیریت امنیت اطلاعات (1806) ایجاد و تعریف سیاستها : در این مرحله ایجاد سياستهاي کلي سازمان مدنظر قراردار د روالها از درون فعاليت شركت يا سازمان استخراج شده و در قالب سند و سیاست امئیت به شرك اوانه كفي شود جلإيزااتليدي و كارشناسان برنامه ریز نقش كليدي در گرد آوري این سند خواهند داشت تعیین محدوده عملياتي : یک سازمان ممکن است داراي چندین زبرمجموعه و شاخه هاي کاري باند لذاََعپیاده سازق تسستم 1 اطلاعات کاري بس دشوار است بای جلوتيري از يکي پیاده سا تعریف محدوده و ت<() صورت مي پذیرد ۰ 37۳) مي اداري و با حتي سایت کامپيوقري سازمان باشد. ‎a‏ قدم و رس و الویت براي پیاده سازي استاندارد امنیت اطلاعات در سس( خواهد بود. پس از پياده سازی و اجراي کنترل های 000/۸7۳00 و اخذ کواهینامه براي محدوده تعیین شده نوبت به پیاده سازي آن در سایر قسمت ها مي رسد که مرحله به مرحله اجرا خواهند شد 1 ° 

صفحه 6:
برآورد دارايي ها و طبقه بندي آنها : براي ابنكه تون کتل هاي مسب را براي قسمت هاي مختلف سازمان اعمال كرد ابندا نبز به تعيين دارابي ها مي باشد. در واقع ابتدا باید تعبین کرد چه داریم و سپس اقدام به ایمن سازي آن نمایيم. در | ليست كليه تجهيزات و دارابي هاي سازمان تهيه ده و باقوجه به درجه اهميت هي ا اوزيابي خطرات : بأداشتن ليست دا وني ها و اهعبت آن یرای سازمان »يبه يش بيني خطرات اقدام كنا بس از تعيين کلیه خطرات برای هر داراییاق و تهديدها ذ سپس با داشتن اطلاعات مدیریت خطرات : مستندات مربوط به خطرات و تهدید ها و همچنین نقاط ضعف امنیتي ‎SEH SBN lad‏ تصمیم رت و موثر براي مقابله با آقها مي نماید . انتخاب کنترل مناسب : استاندارد 00/7760 داراي 10 گروه كنترلي مي باشد که هر کرو شامل چندین کنترل زبرمجموعه است بنابراین در کل 127 کنترل براي داشتن سیستم مدیریت امنیت اطلاعات"هدنظر قراردارد. با انجام مراحل بالا شرکت با سازمان شما پتافسیل بيآده سازي كنترل هاي مذكور را خواهد داشت . 

صفحه 7:
این ده کروه کته لی عبارنند از امنیت فيزيكي 6- مديريت ارتباط ها 7- کنترل دسترسي ها 8- روشها و روالهاي نگهداري و ‎Sone!‏ اطلاعات 9- مدیریت تداوم کار سازمان 0- سا زکاري با موارد قانوني تعبين قابليت اجرا : جمع آوري ليست دارابي هاء تعيين تهديدهاء نقاظ"شعف امنيتي و در نهايت ابجاد جدول كنترل ها مارا دو به دست آوردن جدولي موسوم به (500) یا ارب سامم(0 () م۵ ياري مي رساند. این جدول نهايي از كليه كنترل هاي موود نياز براي بياده سازي را ارائه هي دهد. با مطالعه این جدول و مشخص کردن کنترل هاي قابل اجرا و اعمال آنها سازمان یا شرکت خودرا براي اخذ استاندارد 0 آماده خواهید ساخت ۰ نتیجه آنگه برای رسیدن به یک قالب درست امنيتي ناجار به استفاده از روال هی صحیح کاري و همچنین پيادة سازي استآندارد امنیت هستیم و استاندارد 00 :۲۵/۳ ۵0516/106 انتخايي درست أبراي رسيدن به اين منظور مي باشد 

صفحه 8:
اهمیت امنیت درآزندگي روزمره : آرامش در زندكي بدون امنیت امکانیذیر نیست . ‎١‏ اهميت امنيت در سيستم هاي اطلاعاتي : بدون اطمینان از امن بودن سیستم هاي اطلاعاتي اعتماد به آنها مخال است مكر براي افراد نا آكاه . 

صفحه 9:
50 (سليما ‎tyne‏ الیستاندارد سلزی و ۱26 (کمیسیون بسیر) هال کتروتکنیل) در نار هم سیبیم تسناد سازي‌چهانی | تسشکیلهادهنلند که بل الوبرمرجي‌لستانداردسازي 5 للست 

صفحه 10:
0 و16 درجمينه فيناويعلطلاعات بك كميته فنيهشتر ثرا تاسيسريموهفاند كه به آن ‎ISO/IEC JTC 1‏ كفته عوشود . انتشار استاندارد به صورت استاندارد بين المللی مستلزم تایید از سوي حداقل 275 از آراء هبات ها و سازمان هاي ملي مي باشد. 

صفحه 11:
هدفياز تدوين استانةاردهاي 151/15 : هدف از تهیه این استاندارد بین المللی » ارائه مدلى است كه بر اساس آن بتوان يك سيستم مديريت امنيت اظلاعات یاهمان 15۱/5 راایجاد » اجرا» بهره برداري » پايش » بازنگري » نگهداري و بهبود و ارتقاء بخشيد . 

صفحه 12:
ژویکزه ف رآيندي : به کاربرد سیستم فر آیندها در يك سازمان و شناسايي و تعامل اين فر آیندها و مدیریت آنها "رویکود فر آبندي" کفته "مشود و استاندارد هايٌ مطرح ۱5۱/5 مبتني بر رویکرد فر آيندي است . 

صفحه 13:
در استاندارد 15027001 از مدل ۳۵ استفاده مي ات نت لس ee ‏«اهاهند/ا سا‎ ۶ ‏سم سا‎ و 6 ۵۷۵۷ 

صفحه 14:
مواط ‏ 151/15 زا ير نلمه ويزوكن سياست و خط مشی 1515»اهداف » ف رآيندها و رويه هاى متناسب با مديريت خطر و بهبود امنيت اطلاعات را تعن نمابيد و نتايج را بر اساس سياشت ها و اهداف كلى سازمان ها تبيين نماديد . 

صفحه 15:
0 سدذجام بسده (۱5145را ‎ash‏ ن‌وده و از آزسهرد بردلیوک) سیاست ۱5۷5 کنترل ها » فر آیندهاو رویه ها را پیاده نموده و از نها بهره برداری كن . 

صفحه 16:
‎Check‏ - کسنتر لکسوز( 5۱/5 را بسلیثرک رده و عورد بلينكروقرار بده) اجرای فر آیند را بر اساس سیاست 15۱45 اققآق و تجربه عملی مورد ارزشیابی و در صورت امکان مورد سنجش قرار بده و نتایج را جهت باژنگری در اختیار مدیریت قرار بده . 

صفحه 17:
‎sb Sse ACT‏ سر( ۱5115را نکهدرونوده و آنرا بسهبود ‏بر اساس نتایج ممیزی داخلی ۱5۱/5 و بازنگری مديريتي با سایر اطلاعات مربوطه» اقدامات اصلاحی با پیشکیرانه را اتخاذ نمایید تا بهبود مستمر 5 محقق گردد . 

صفحه 18:
دامنه کازیرد : 1 تام سازمان‌ها ( دیلنیو غیر دولني) را شلملعيكردد و لؤامادمر بوط بمليجاد » بسباشه سازی » بسهرد بسردلیی بلیش باینکزی نگهدلییو بسهبود یسک 5۷| حستند سازوشدد در قللیسکهایکلی سلوزمانا تعبيرو تصريحعونمايد. 

صفحه 19:
5 سنانتخابک نتر لهاعمنیتیک لفیو متناسا تسضمی‌مینم‌اید و بللستفاده از همين کنترل هاومنیتی دایلیی‌هاوطلاعلتی سلزمان‌ها را محلفظه موهه و به طرفيرشينفعلطمينا ها طر هي haath 

صفحه 20:
5 بخشواز سیستم‌مد بردنسه شسمار عیرود ؛ يادآوري : سیستم مدیریت .ساختار تاژماني» سیاست ها» خط مشي هاء فعاليت هاي برنامه ريزي » مسئوليت ها » رويه ها و فرآيندها را شامل مي شود . 

صفحه 21:
طراخي و مستند سازي ‎:ISMS‏ ‏الف با مشخص نمودن دامنه باید خدود و نغور سیستم مدیریت امنیت اطلاعات را بر حسب مشخصات قعالیت سازمان » مکان آن» دارايي ها و توجیهات مربوط به هر ‎Ob‏ از حذفیات از دامنه را تعریف و تعبین نمائید. 

صفحه 22:
ب ) بر اساس سیاست و خط مشي سیستم مدیر یت امنیت اطلاعات بر حسب مشحصات فعالیت هاق سازمان دارايي ها را تعویف و تعیین نمایید. 

صفحه 23:
ب) متداولوژي ارزشيايي خطر که از هر حبث مناسب با امثبت اطلاعات سازماني و الزاماتاقانَوني باشد رأ تعيين كنيد. 

صفحه 24:
ت ) خظرات را تعبین و مشخص نمایید : دارایی ها اطلاعاتی [۱ مشخص کنید. ۰ عوامل تهدید کننده دارايي ها را تعیین نمائید. ۰ نقاط آسيب يذير كه ممكن است از سوي عوامل تهديد کننده مورد استفاده قرار گیرند را تعیین و مشخص ‎٠‏ تاثيرات از بین رفتن محرمانگي » تمائیت و در دسترس بودن بر دارايي ها را مشخص نمائید. 

صفحه 25:
ث ) نتیجه تهدیدات و آسیب پذيري هاي جاري و تاثیرات آن بر دارايي ها و اقدامات كنترلي که درحال عفر انحام مي شوند را مورد ارزشيابي قرار داده» سطوح خطر را بر آورد نمایید. 

صفحه 26:
ج ) راهکارهای مر بو ظ به اتخاذ تداییر لازم جهت رفع خطرات را تعیین و مورد اززشيابي فرار دهید. 

صفحه 27:
ج )مجوز مدیریت رابراي اجرا و بهره برداري از سیستم مدیریت امنیت اطلاعات دریافت نمایید. ح ) تایبدیه خطرات باقيمانده پيشنهادي را از مد ریت اخذ نمایید. 

صفحه 28:
خ) گزارش کاربرد.پذيري را تهیه و تنظیم نمایید. موارد ذیل باید در گزارش کارّبرد پذيري لحاظ گردد : 1) اهذاف و اقداماتً کنترلي انتظاب شذه و دلایل انتخاب آنها . 2( اهداف و اقدامات كنترلي که در حال "خاش اجرا آقي شوند . 1 8) ذکر دلایل توجيهي براي حذف هر بكِ از اهداف اقدامات ‎my?‏ 

صفحه 29:
اجرا و بهره برداري از سیستم,مدیریت امنیت اطلاعات : الف ) میازمان ملزم ات تا برفامهمقابله با خطر را تدوین نماید و در آن برنامه اقدامات مدیزیت ‏ منابع.»,مسئولیت ها واولویت هاي مديریت خطرات امنیت اطلاعات را تعیین و مشخص نماید. 

صفحه 30:
ب ) سازمان بايد به منظور دستيابي به اهداف کنترلي تعیین شده » بر نامه مقابله با طرات راابه مورد اجرا بكذارد و منابع مالي لازم و نقشآها و مسئولیت ها را در آن لحاظ نمايد. ب) سازمان بايد به ‎(gl RS Staal ili yatta‏ اقدامات کنترلي آنتخاب شده را به ورد اجرا بگذارد. ت) سازمان باید نحوه اندازه گیری کاآمدی اقدامات كنترلي با مجموعه اقدامات کنترلي را تین نماید. 

صفحه 31:
ث ) سازفان بايد برنامه هاي/آموزش و آگاه سازي را اجرا نماید ج ) سازمان باید بهزه برداري از سیستم مدیریت امنیت اطلاعات را مدیریت نقاتك . ج ) سازمان باید امکان شناسايي فوري رويدادهاي امنيتي و نشان دادن واکنش به حادثه هاي امتيتي را فراهم کند . 

صفحه 32:
Chek بايش وبنازنكري سيستم مَديريت امنيت اطلاعات : الف ) سازمان بابد رویه هاي‌پایش و بازنگري را اجرا نماید تا به این ترتیب امکان انجام به موقع اقدامات زیر برایش فراهم گرده : 1 ) اشتباهات بوجود آمده در نتایج پردازش را به موقع شناسايي نماید. 

صفحه 33:
2 ) هر,گونه حوادث و سای راقدامات دیگر در جهت نقض امنیت را به موقع شناسايي کند. 3) اطمبنان حاصل نماید که آبا اقدامات اتخاق شده جهت حل و فصل مشکل نقض آمنیت کار آمد و موثر هستند با خیر. 

صفحه 34:
Chek ب ) سازمان باید اثربخشي 55 را در فواصل زماني بزنامه ريزي شّه بازنگري نماید . ب ) سازفان بايد ارزشيابي هاي خطر رادر فواصل زماني برنامه ريزي شده مورد بازنگري قرار دهد وخطرات باقیمانده و سطوح قابل پذیرش خطر را مورد بازنگري ‎mest?‏ ‏امنيك اطلاعات ‎Al; polska‏ نامه ریز ی شده انجام دهد . 

صفحه 35:
اعم ث ) بنازمان ملزم خواهد بوّد تا بازنگري مديريتي 5 را در فواطل زماني برنامه ريزي شده انجام دهد تا به این ترتیب از کفابت دامنه و پشرفت‌هاقتذتت آمده در ف رآيندهاي سیستم مدیربت آمنیت اطلاعات اطمینان حاصل نماید/, 

صفحه 36:
Chek ج ) سازمان ملزم خواهد بود تاببا توجه به نتایج حاصل از فعالیت هاي انجام ناه در زمینه پایش و بازنگري؛ برنامه . هاي امنيتي را ارتقاء دهد. ج ) سازمان ملزم خواهد بودتا اقدامات و روبدادهايي که به نحوي از انحاء بر اثر بخشي يا اجواي سیستم مدیریت امنیت اطلاعات قاثیر گذار هستند را نت و ضبط نماید. 

صفحه 37:
نگهداري و ارتقاي سیستم قدیریت امنیت اطلاعات : الف ) سازمان ملزم"خواهد بود تا اصلاحات تعبین شده در فاز ۱66۷ را اجرا نماید . ب ) سازمان باید اقدامات اضلاخي و پیشگیرانه مناسب را اتخاذ نماید و آنچه را که از تجریبات/سایر سازمان ها فرا گرفته است بکار بندد . 

صفحه 38:
پ ) سازمان باید اقدامات/و اصلاحات را با ذکر جزئبات در اختبار تمام طرفین ذینفع قرار دهد. ت ) سازمان باید اطمینان حاصل نماید که اصلاحات مورذ نظر اهداف مورد نظر را محقق خواهد نمود. 

صفحه 39:
دلایلانجام مميزي هاي داخلي ۱5۱/5 : الف ) حصول اطمینان از رعایت/الزامات استاندارد بین المللي حاضر و قوانین و مقررآت مربوط به آن ؛ ب) حصول اطمینان از اجرَّا و نگهداری اثر بخش ؛؟ 

صفحه 40:
: 15۳۸5 ote jae Obl . ‏زمان بندي از قبل تعیین/شده داشته باشد‎ -1 . ‏حوزه هايي که باید مورد مميزي قزّار گیرند» مشخص شود‎ -2 ‏نتایج ممیزی های قبلی در آن لحاظ شود‎ -3 ‏معیارها » دامنه » تعداد و روش اي مميزي باید تعبین شود‎ -4 ‏انتخاب ممیزها و اجراي مميزي ها باید بکونه اي انجام شود‎ -5 ‏که واقع بيني و بي غرض بودن فر آيند مميُزي را تضمين نمايد.‎ ‏ذكته بسيار مهم : ممیزها مجاز به مميزي كارهاي خود نخواهند بود.‎ 

صفحه 41:
بازنگری مدیریت : ورودي ها ء الف ) نتایج مميزي هاي و بازنگري ها ؛ ب ) بازخوره از تتوّي طرفین ذبنفع ؛ پ ) نکنيك ها و خروجي ها ي بهبو۵/اجرا و اثر بخشي؛ ت ) وضعیت اقدامات پیشگیرانه با اصلاحي؛ 

صفحه 42:
ث ) فقاط,آسیب پذیر با تهدید/که در ارزشيابي خطر قبلي به نحو مقتضي‌آمورد توجه قرار نگرفته اند ؛ ج ) ننایج حاصل از اندازه گيري هاي اثربخشي ؛ ج) اقدامات پیگیرانه از بازنگري هاق قبلي مديريت؛ خ ) هرگونه تغييزاتي که مي تواند‌بر سیستم مدبربت امنیت اطلاعات تاثیر گذار باشند ؛ ج ) توصیه ها و پیشنهادات در جهتبهبود. 

صفحه 43:
خروجي ها : ‎Gace WU GW Gey >‏ اقدامات مرتبط با موارد ذیل باشد : الف ) پهبود اثربخشي سیستم مم‌بریت امنیت اطلاعات . ب ) روز آمد سازي ارزشيابي خطر و برنامه مقابله با خطر. پ ) اصلاح رویه ها و اقدامات کنترلي و نطازتي تا گذار بز امنیت اطلاعات . ت ) رفع نيازمندي هاي منابع . ث) بهبود نحوه اندازه گيري اثربخشي اقّامات نظارتي, 

صفحه 44:
سرفصل هاي 15027001: 7 خط مشی امنیت 6 ساختاژلمنطلاعات 7 هدبيسةايلدرها 8 كلمن منابعلشلنئ 9 للم نسفيزيكيو بيراميني 0هدبيسليتباطانو عمليات 1 کنتتر[ورود 2 کتساباتوسعه و نگهدلییسلیستم هاءطلاعلتي 7 مدیریت حادثه امنیت اطلاعاتي 4 عد یولوم کايي 5.لنطباق 

صفحه 45:
امنیت مناتع انسانی : 1- قبل از استخدام 1-1 نقش ها و مسولیتَ ها : نقش ها و مسئولیت هاي امنيتي کازکنان ؟ پیمانکا رن و کاربران ثالث باید بر اساس سیاستِ امنیت اطلاعات سازمان تعریف و مستند سازي/شود. 

صفحه 46:
1-2 غربالگرق : اقدامات نظارتسي در خصوص تایه پیشینه تمامي نامزدهاي استخدامي » پیمانکاران و کاربران الت باید بر اساس قوانین » مقررات و معيارهاي اخلاقي مربوطه و متناسب با الزامات سازماني» طبقه بندي اطلاعلتي که فرار است در دسترس قرار گیرند و خطرات شناخته شده انجام شود. 

صفحه 47:
3-] شرایط و ضوابط استخدام مسئولیت هاي کارکنان » پیمانکاران و کاربران ثالث و سازمان در قبال امنیت اطلاعات ‎Gol po WL‏ دوقّارداد استخدامي آنان تصریح گردد. 

صفحه 48:
52 خلال استخدام : برگزاري دوره هاي آموزشي و ‎hile OUT‏ درباره اعنیث اطلاعات : کلیه کاررکنان سازمان و بر حسب مورد پیمانکاران و کاربران ثالث ملزم خواهند بود تا دوره هاي آمَوزشي و آگاه سازي در خصوص ‎Curlew‏ ها و رویه هاي سازمان را بر حسبُْ,نوع شغل شان طي نمایند. 

صفحه 49:
3- فسخ قرارداد استخدامي با تغییر شغل : 3-1 مسئوليت هاي فسخ : مسئولیت ها در قبال اجزاق فسخ استخدام يا تغييز آن بايد به صراحت تعبین و واکذار گرد" 3-2 عودت دارايي ها : کلیه کار کنان » پیمانکاران و اشخاص ثالث ملزم خواهند بود تا به محض فسخ استخدام » قرارداك يا موافقت نامه خود » نسبت به عودت دارايى هاى سازمان كه ذر اختيارشان قرار داشته اسناقدام نمايند. 0 

صفحه 50:
3-3 حذف حقوق دسترسي : حق دسترسي کلیه کارکنان » پیمانکاران و کاربران ثالث به اطلاعات و مراکز پردازش اطلاعات بايد به محض فسخ استخدام » قرارداد با موافقت نامه حذف شده و با به محض هرا وه تغیبر » مورد تعدیل قرار گیرد. 

صفحه 51:
فر آبند تتييهي : در مورد آندسته از کار کناني که مرتکب نقض امنیت مي شوند/ وجوه يك ف رآبند تنبيهي الزامي اسُت .