آشنایی با استاندارد ISO27002 در ISMS

صفحه 1:
[Saale Pra Pee 9 در 41808 

صفحه 2:
— 1IGOG ۳ ‏جيسة‎ © بركرفته از كلمات زير و به معناي "سيستم مديريت امنيت 56 است . سح يي ا مت دمم ۱ 0 (سازمانسیرالمللیاستاندارد سلزو) و 120 (کمیسیون بسیرامللیاکتروتکنیل) در کسنار هم سیستم تسخصصیلستاندارد سازی‌چهلني | تسشکیلد اد اند که بد الردرمرجهلستانداردسایي لست 

صفحه 3:


صفحه 4:
eS TSE Teas ad Sede eb oad جريان اطلاعات جريان اطلاعات جریان اطلاعات و ‎Bad‏ مب جریان اطلاعات ‎ 

صفحه 5:
اطلاعات به چه منظور جریان دارند؟ 1- ایجاد » بهره برداري و توسعه تجارت الکترونیک 2- ایجاد » بهره برداري و توسعه دولت الکترونیک ‎STS kiss‏ ات ‎Sere STS The‏ 1۳ 5- ابجاد » بهره برداري و توسعه پزشکي الکترونیک 6-و... 

صفحه 6:
در ادامه 1 Pome ea Peer eM oRE Py Ay age) L Tero) acco ۷ 5 1 0 «۰ 

صفحه 7:
آیا سازمان ما نیاز به سيستم مديريت امنيت أطلاعات (150005) دارة PRON eer ae peed gel on PON es Be Ree است؟ 1 آیا پورت هاي نرم افزاري و سخت افزاري راینه هاي ما بسته است؟ آیا عملیات تصدیق هویت در ف رآيندهاي اطلاعلتي ما مورد اطمینان است؟ ‎Lp‏ سا ۱ آیا ۳۵۱6۷ 5601۲117 ما مرتب بازنگري مي گردد؟ 

صفحه 8:
‎ee eee |‏ ال ا اطلاعاتمان قابل کنترل و ثبت است؟ ‎cwial yo Social Engineering Jgualog> gis 6 aim ‏اطلاعات را آموخته ايم؟‎ ‏آيا يشتيبان كيري در دستور كار تمامي كا ركنان مي باشد؟‎ 18 ‏ايا در مبادي ورودي شبكه از 05]! و 25| هاي كارآمد ‎te 7‏ 939 ريم 

صفحه 9:
Re re ee eat) ‏کر‎ ‏ار‎ رن را ۱ استفاده مي كنيم؟ 00000 ee een ۱ Pe ‎Pe‏ ا ل 

صفحه 10:
وا ۱ را ‎Colley EP kT SUN ae Sree eT‏ ا لتنا 0 LE | (babylon-winboost) : 0 ,tit OP eh Mallee aye re Mla ley oP ee en | ‏آنان به سيستممان اطمينان داريم؟‎ 

صفحه 11:
‎nd ae Nae oor TC) tee BOLL‏ ا ا آیا در تبادلات الكترونيکي مهم از رصز نگاري هساي کار آمد استفاده مي كنيم ؟ ‏اال ل ل ا نا 0 رعابت نموده ایم؟ ‏ال ا ل زا نموده ايد؟ 

صفحه 12:
مروري بر ایزو 27002 [19 Teer Ure sme hon a) eS sealer ered 

صفحه 13:
(IGOSTODS ww 35 ) Some le Ul ۳ ‏اطلاعات-يك دار ابسي‎ . دارليي هاي مهم براي فعالیت هساي کاري يك سازمان بسیار اساسي است. 

صفحه 14:
۱ اطلاعات مجموعه‌اي از آگاهي‌هاست؛ که مبناي اکتشاف و ۱ ممکن استبه جاي همبه کار رود » ولي » از پردازش و برورش داده هاي خام و بردازش نشده است كه اطلاعات بوجود مي آيد. Ree ee nn et ee ee) 

صفحه 15:
انواع اطلاعات : ار ‎SE Cee Sere ee Teo‏ آن را بر روي کاغذ 0 ‎P|‏ را و ی سر( ‎ROP TP OTR ey] emer en BL‏ ‎By)‏ ‏اطلاعات راحي توان بر روي فیلم هلبه نملیش درآورد ویا آنها را به صورت شفاهي و کلامي در مکالمات ادا نمود. 

صفحه 16:
000 ene] ‏ا ال الل نا‎ he ee eee ‏هدف تضمين استمرار فعاليت هاي كاري »جه‎ ‏ا ا ا شك‎ <0 ‏رساندن ميزان بازده سرمابه كسذاري ها و‎ ۱ ‏فرصت ها صورت ۳ پذیرد.‎ 

صفحه 17:
‎Beever]‏ ارات ‎ee) See ere ome) SZ ‏تمامييت(سوحه) و در دسترس بودن‎ ‏اطلاعات و همجنسین سایر مسواردي مانند تصدیق هويت‎ ‏بذيري (ساطكس حححه) 2» عدم‎ tee as 2) Pee ee I ‏ا‎ ‎099.5 (50 Joli 1 (rehab) 

صفحه 18:
علت نباز به امنیت اطلاعات در چیست؟ اطلاعات و فر آيندهاي پشتيبلني » سیستم ها و شبکه ها از ۱ سازمان ها ؛ سیستم هاي اطلاعلتي و شبکه هاي آنمابا ‎Deca‏ ار ‎rel NC) CPE Oe uel‏ ل آتش سوزی 6 ‎Abs) 6 Mow‏ 6 عملیات ترور بستي و ... مواحه هستند. 

صفحه 19:
جرا در كشورهاي در خال توسعه 5115| جدي كرفته نششده است؟ 1- مشتبه شدن با امنيت شبكه | eek Perea | aie 4- عدم استفاده از نگرش کا رآفريني در کنار نگرش دستوري در یت 

صفحه 20:
۳ مدير دستوري ا ا ‎Ree pee‏ را سا ‎DB ed ite Re ae‏ ایجاد انگیزه مي کند. ‎eee ee‏ ریسک پذیر نیست. بان 1 ( ۱۳ ‎Ye TCS) tae |‏ مب سا مي ‎١ ot)‏ 2- تفويض اختيار كلمل نمي كند و نیاز به اعمال کنترل دارد. 3- داراي تفکراتنو آورانه بوده و ی 

صفحه 21:
جایگاه دو سبک مديريتي دوره رش نو آوري دوره افول نوآوری 

صفحه 22:
‎aD‏ سس ‎teuncre. fury Ine.)‏ ۳ ‎pL ee Tee STC ee) ree‏ ‏ل ‎Be ED el ee ee‏ اساس اهداف كاري » پشتيبلني و تعهد خود امنیت اطلاعات را از طريق انتشار و پايبندي به خط مش امنیست اطلاعات در کل 000 

صفحه 23:
1-1-5- سند خط مشي امنيت اطلاعات سند خط مشي امنیت اطلاعات باید توسط مدیریت تایید » انتشار و به تمامي کار کنان و گروه هاي ذي ربط برون سازماني ابلاغ گردد. 2-1-5- بازنكري خط مشي امنيت اطلاعات ل ا ا ل ‎eS‏ ‏ريزي شده مورد بازنكري قرار داده شود قا اكر تغييرات قلبل توجهي در آن ايجاد شده است » از حفظ شايستكي» کفایت و اثربخشي آن اطمینان حاصل شود. 

صفحه 24:
6- ساختار امنيت اطلاعات 1-6 ساختار داخلى 01000000000 TE Te) هر گونه اقدام در جهت شروع و کنترل بر اجراي امنیت اطلاعات در داخل سازمان» را مديريتي خواهد بود. مديريت ملزم ۱ ‎es etl a error rea By)‏ ۱ دتفا 0 ‎Bld‏ ا ا ل ‎ETC‏ ۲1 ‎A Se sO ee Se TS eet Teer)‏ نقاط ارتباطسي مناسب در زمان مقابلهبا رويدادهاي امنيت اطلاعات الزامسي مي باشد. 

صفحه 25:
fe) Ree ee eee ad Bae) ee Rema ne P eT es vie) ‏ا ا ید۱‎ ‏حمليت و بشتيبلذي حي نمليد » تعهد خود را نسبت‌به آن‌به‎ ‏اثبات برساند و وظلیف را صراحتاً تعیین نملید و مسئولیت ها‎ ۱ MEN) py ner Sy er) 2-1-6 هماهنگي امنیت اطلاعات فعالیت هاي امنیت اطلاعات بلید توسط نمابندگان بخش هاي ‎nay Cy Mies ren‏ 0 كردد. 

صفحه 26:
3-1-6 تعبین مسئولیت هاي اعنیت اطلاعات تملصي مسئوليت هاي امنيت اطلاعات بليدسبه طور واضح تعريف و مشخص كردد. ۱ هاي حفظ محرمانكي 1 PN Or Pee Pepe AE ‏عدم افشاي اطلاعات کسه بیانگسر نيازهاي سسازمان بسه‎ 52110111 1 1111-0197 . ‏و بطور منظم مورد بازنگري قرار داده شود‎ 

صفحه 27:
Pa vere) ‏ا‎ 2 ed حفظ رولبط مناسب‌با مقامات ذي ربط لازم و ضروري مي باشد. ee RONG SIE A Ea Sli id te حفظ ارتباطات مناسب‌با گروه هاي ذي نع خاص‌با ا ا لي ‎Re‏ حرفهاي لازم و ضروري مي باشد. 

صفحه 28:
2-6 شرکاي برون سازماني دك : حفظ امنیت اطلاعات سازمان و مرلکز پردازش اطلاعلتی ‎ees‏ ل ‎ROSE TOS‏ سل ‎Reto e ee ee ree se Tele‏ جنانجه بر مبناي الزامات كاري » لزوم همكاري با اشخاص برون ا ۱[ اطلاعات يا مستلزم درياقت يا تامین کالا با خدمات از سوي ۱ ‎eS ee eee ee tear)‏ ‎TO eT ne ted‏ بلید در قالب يك موافقت نامه ‎SBTC TS ie Ste SS ee)‏ 

صفحه 29:
3-2-6 توجه به موضوع امنيت در قراردادهاي شخص ثالث موافقت نلمه هاي منعقدمبا انخاص الثي کمبه نحوي از انحاء در دسترسي » بردازش» انتشارسيا مدبييت اطلاعات سازمان يا مراكز يردازش اطلاعات يا اضافه كردن محصولات‌با خدمات‌به مراکز بردازش اطلاعات دخللت دارند باید متضمن تمامي الزامات امنيتي مربوطه باشند. 

صفحه 30:
7- مدیریت اموال هدف : انجام اقدامات لازم در جهت محافظت از اموال سازمان . ی ل نت صاحب و مالك مشخص ( اسمي ) باشند . صاحبان هر يك از اموال باید مشخص و مسئولیت ایشان در ‎ra) PC)‏ انجام اقدامات كنترلي لازم تعيين شده باشد. صاحب هر يك از این ات اجراي اقدامات كنترلي خاص را بر حسب مورد واكذار نمايد» امااين واكذاري موجب سلب مسئولیت وي در قبال Aware WN eB ro en 2) 

صفحه 31:
1-7- مسئوليت در قبال اموال 110171000 تمامي اموال بليدجه صورت كامل ومشخص شناسابي شده باشد و فهرستي از موجودي كليه دارليبي هاي مهم او سس ل Roe ar ۱ pert we Re ol oC gfe ror Fee ere yc are erp reer a pe) She Te So 

صفحه 32:
1 00 sete: ‏ل‎ ‏ها‎ ‎OM ‏ال‎ ‎Eee ron eae SBN UBIO eo Err tom ‏ان 12-7 هستند. برخي از‎ FI petro PP Eanes ere g [Pes| Papeoneyn te PAE RO yy | ‏تعریف و تعیین سطوح محافظت و بازگو کردن اهمیت بکاربردن اقدامات‎ ۱ ‏ال فا‎ 3 Bere eer) 

صفحه 33:
1-2-7 دستورالعمل هاي طبقه بندي Pee Te en Le Sh eee tol a] ee Oe Se ee ree Se ed ad lee) 2-2-7 تعيين عنوان و نحوه جابجايي اطلاعات بر اساس طرح طبقه بندي اتخاذ شده توسط سازمان لازم ‎ear eB‏ براي برچسب زني و جابجايي اطلاعات تهیه و تدوین گردد. 

صفحه 34:
Pe) orl Po] rere) Bate) 1-8- قبل از استخدام |۱۱ En Cee wee BY rn Pee RY Deel eal LOE Cel a able tt eo | eSB LS Rie Sot STE al abet EL peel Seb we cal abet ambien ater ta OS ine ee aS le Teen bet ed ‏خواهد بود.‎ انجام گزینش متقاضیان استخدامي ؛ پیمانکاران و کاربران ثللشبه خصوص ‎ree itera. TS ee)‏ ۱ کلیه کار کنان؛ پیمانکاران و کاربران مرلکز پردازش اطلاعات ملزم خواهند ‎MPR POL ETN SR PT HEE Peg TA Tor ML rtr‏ برسانند. 1 7 

صفحه 35:
| ‏اس تسس‎ ot) RRR ER PIR ١ ER eae rer soe eee I ere repro) Pye ey More fered eon CRT nr d) Cer ‏جریان كارهاي عادي خویش‌به ابزار لازم تجهیز شده لند و‎ ‏خطاي انساني.‎ لا ‎ROPER‏ ‏جریان مراحل استخدامي يك فرد در سازمان اطمینان لازم حاصل شود. ‎eed eer SB ren. Se ST Le ten Cs) ae‏ سا ‎Pe En ony‏ 10[ و کاربران ثللشبه منظور کلهش ریسك هاي امنيتي . تعيين‌ميك رویه رسمي ل ی ار ‎EO‏ 

صفحه 36:
3-2-8 روبه انضباطي اف سا هل ۳۳۹ كار كنانسي كه مرتكب نقض امنيت مي شوند » الزامي به نظر مي رسد.. 

صفحه 37:
۱ هدف : حصول اطمينان از خروج كار كنان» بيمانكاران يا كاربران ل ‎Re ae peed‏ استخدامي طبق روش هاي جاري. EE aR adel eed al led i eS cela كار كنان » بيمانكاران يا كاربران ثالث از سازمان كاملاً با نظر م لم ال ‎Pe‏ ‏حقوق دسترسي بطور كامل انجام شده است. 2 ‎ten pom ere)‏ ل الل لا م ا يت ‎١ RP OM rer pe)‏ 

صفحه 38:
ی رت ۱۳ مر ۱ گونه تداخل در پیرامون با اطلاعات سازمان Pree Tore pred eee Meme OU RS eee ene eee ae co) ‏وبا در نظر گرفتن محیط هاي امنيتي و‎ ee eh ee با ايجاد موانع امنيتي منلسب و كنترلي مناسب در مبادي وروي مورد محافظت تا را ‎OS‏ ‎eS es Bree eT eee By)‏ رس لا 

صفحه 39:
2-9 امنيت تجهيزات. مر ‎SON RN ee re aT Se yer‏ 20000 محافظت از تجهیزات ( منجمله تجهیزات مستعملي که در خارج از ای ‎Ce‏ ‏ريسك دسترسي غیر مجاز به اطلاعات و محافظت در برابر ضرر و زیان ات ا ا استقرار و نحوه دور ریختن تجهیزات نیز لازم و ضروري مي باشد. انجام اقدامات كنترلي ويزه به منظور محافظت در برابر تهديدات فيزيكي و حراست از مراکز پشتيباني از جمله زیر ساختارهاي برق رساني و شبکه توزیع برق » اجتناب ناپذیر مي باشد. 

صفحه 40:
0- مديريت ارتباطات و عمليات 1-0 مسئوليت ها رويه هاي عملياتي | لا ار رل ۶ پردازش اطلاعات بلیدبه نحو مقتضي تعیین گردد. لین فرآیند » ‎ere ce hirer ree rt eT pel a‏ PERO orl RU ge eye eee py peer gee ri ges em) ‏نت سس‎ tide = CE, ‏تعمدي از سیستم کاهش یابد.‎ 

صفحه 41:
2-0 مدیریت خدمات ارائه شده توسط اشخاص ثالث هدف : اجرا و حفظ سطح مناسب امنیت اطلاعات و ارلئه خدمات طبق موافقت نامه هاى ارائه خدمات قوسط ‎SE ole‏ 7 سازمان ملزم خواهد بوشتا بر حسن اجراي موافقت نلمه ‎TL ws ror) peg Ae ery ar ny peepee OES‏ ‎kee oe en Rew ee ems) ken)‏ لان بکینه ای انجام دهد که از بر آورده شدن تملمی الزامات توافق شده با اشخاص ثالث در زمینه ارائه خدمات اطمينان حاصل نمايد. 

صفحه 42:
2-2-0 نظارت و بازنكرى خدمات ارائه شده توسط اشخاص الث 5 خدمات » كزارشات و سوابقي كه توسط اشخاص ثالث در اختيار سازمان قرار داده ی لاك بازنگزي قرار داده شود و در فواصل زماني معين مميزي شوند. 

صفحه 43:
3-0 برنامه ريزي و بذيرش سيستم ی حصول اطمینان از دسترس بودن ظرفیت و منلبع كلفي براي رسیدن به عملكرد مورد انتظار از سيستم مستلزم آماده سازي و برنامه ريزي پیشرفته مي باشد. ‎ee) ere tr ae ST ey‏ سا ‎EST eee fe ES MLE Ie pee)‏ ‎peomerye cles POMP ITS mee rer‏ ۱ ازهر كهنه اقدام در جهت بذيرش و استفاده از آنهاء لازم و ضروري مي باشد. 

صفحه 44:
Ee TC See Bra) aok at Al ا 0 1۱ ‎ee‏ ل ال بردن کد مخرب و کد غیر مجاز موبایل. ‏را ‎IE Pe se ee ee‏ ل ا ‎CO nee TOE RIT‏ 0 و بمب هاي منطقي آسیب پذیر هستند و لذا کاربران باید نسبت به ریسک هاي این كدهاي مخرب آگاه و هوشیار باشند. و مدیران ملزم خواهند بود تا بر حسب مورد » اقدامات کنتر لي ‎Feel lade Te et SS de SU Dy‏ ‎ROT esa ron‏ 

صفحه 45:
6-0 مدیریت امنیت شبکه, 000 Senge) pee ETRY ree eee) ‏محافظت از زير ساختارهاي يشتيباني.‎ Reto Tey Te Sper rete [ore ny) » ‏قرار صي دهد » مستلزم توجه دقیق به جریان داده ها‎ ‏ی اس‎ به منظور محافظت از اطلاعات حساسي که از طریق شبکه هاي عمومي رد و بدلهي شهند سبه تدابیر كنتيلي بيشتري نیاز خواهد بود. 

صفحه 46:
7-0 نحوه استفاده از رسانه ها هدف : جلوگيري از افشاي غیر مجاز ؛ جرح و تعدیل » حذف یا ‎Teh ton‏ 1 ‎ter DE ie Ree Tee LD‏ ۱ محافظت قرار گیرند. | By [On pC Te EROen npn as EOP (Cro EPL RR ere) ee Pere i ‏افشاي‎ BO nee eee Te CO oy ‏ل الي‎ di ee aS ed ‏مي باشد.‎ 

صفحه 47:
‎we Loe ee Real fad A]‏ و ‏تعیین و اجراي روبه هاي مربوطبه مدیربت رسانه هليي كه قابل باك شدن هستند » لازم و ضروري هستند ‏05207 ‎ey)‏ اام اام ‎Dre I) ver‏ 0 لازم خواهد بودتاجا رعلیت نکات ايمني و امنيتي وبا ‎POPE hr oa)‏ 0 ‎9 ‎mye) 

صفحه 48:
5-7-0 رويه هاي جابجابي اطلاعات Bn ee Br Bn By ere pene ‏اي‎ ee ee ae ‏تعیین رویسه هاي مربوطبه جابجايسي و ذخيسره سازي‎ 020 ل ا ا 0 ‎a AE BT ae ae codec)‏ دسترسي غير مجاز محافظت شوند. 

صفحه 49:
8-0 تبادل اطلاعات هدف : حفظ و تامین امنست اطلاعات و نرم افزارهايسي که در ار ‎es‏ ‏مبادله مي شوند. تبادل اطلاعات و نرم افزار بين سازمان ها بايد بر اساس خط مشي تبادل اطلاعات و مطلبقبا موافقت نلمه هاي مربوطه انجام ی ‎Brewed Ee epee‏ لا ‎Ne‏ ‏از اطلاعات و رسانه هاي فيزيکي حاوي اطلاعات در حال انتقال لازم و ضروري مي باشد. 

صفحه 50:
9-0 خدمات تجارت الکترونيك ۹ oe aR meters . ‏و استفاده ایمن از آنها‎ ۱ ere eel) ‏الکترونيك از جمله معاملات آنلاین و الزامات مربوط به‎ Sy ‏ار‎ ‎19 oer eter pepe oy Pye ‏ل‎ Cd et ce Relea ACE a ‏صورت الكترونيكي منتشرحي شوند از دیگر مواردي است‎ ‏که باید مورد توجه قرار داده شوند.‎ 

صفحه 51:
لاا هدف : شناسايي فعالیت هاي غیر مجاز در زمینه پردازش اطلاعات. سيستم ها بليسبه نحو مقتضي مورد بازبيني قرار كرفته و رويدادهاي مربوط به امنيت اطلاعات » ثبت و ضبط كردد. براي حصول اطمیمان از این که شم اه ۱ ۳ شده لند» استفاده از ‎oe ee omer re ren‏ ۱ لت نايذير مي باشد. اك ل ۱ بازييني سیستم بلید بکینه اي انجام شود که بتوان از ‎APO Tere‏ اربخثشي تدابير كنترلي اتخاذ شده و تعيين انطباق با مدل خط مشي ا لا 

صفحه 52:
| 1-1 الزامات کاري درباره کنترل دسترسي هدف : کنترل دسترسي به اطلاعات دسترسي به اطلاعات » مراکز پردازش اطلاعات و | کنترل شود. خط مشي هاي مربوط به اشاعه اطلاعات و مجوزهاي ‎ROSE es ee one Rene Ege)‏ 

صفحه 53:
Pe el ee Be هدف : حصول اطمینان از دسترسي مجاز کاربر و ممانصت از هر گونه ‎eC Be tes)‏ ۱ de ot re irene Eyre teary eel er te ea Seren Fe og] ‏اجرا در آید.‎ ۱ ed edad el he eer TORT ate nT Tel pe TOWN BRN CN Ter Pod ERC Cw POM eT oF ۱۳۳ ea rnd Cate aoe a oe ‏ل ا‎ Bet ‏سا‎ etme LIC el cele SBT Rey Roe Mt ae) ‏آسن کنترل هاي سسیستم در مورد کاربران اعمال نمسي شود ؛ از جملسه‎ ۱ ‏را‎ Dee LL oda) 

صفحه 54:
PIS sq 40IF Co pro 3-2-11 ۱ wey ‏ا‎ ‏رسمي كنترل شود..‎ 4-2-1 بازنگري حقوق دسترسي کاربر ۱ ‎ee Be See ity tts) Coe eo)‏ منظم نماید. 

صفحه 55:
ORG er eae ot ۱۶ Be re Sore es ton eT eae) Be ‏ل‎ ne ee eee ‏ل‎ Bey] eee EB ES) ES) ee ee eet weeny ۱ eT a DT a al ee cleo aT ES al ‏هاي کنترل دسترسي موثر یبه خصوص توجمبه استفاده از کلمات عبور‎ " و امنيت تجهيزات كاربر آكاه باشند. 0 cee اجرا در تیستلبه لین ترتیب ربسك ناشی از دسترسی غیر مجازیا وارد ‎RP EPP PIO aE ۳‏ اطلاعات ‏لكات 

صفحه 56:
‎Reece ee a ot‏ تا هدف : ممانعت از دسترسي غیر مجاز به خدمات شبکه ‏2-4-1 شناسايي کاربر در زمان وصل شدن‌به اتصال هاي (كانكشن هاي ( بيروني ‏سبه منظور کنترل دسترسي از سوي کاربران راه دور » لازم خواهد بودتا از روش هاي مناسب تعیین اعتبار استناده ‏م ‏سوث. 

صفحه 57:
5-1 کنترل دسترسي به سیستم عامل 1 Tene Ce eae ln) 000022 Re ee ete Blas SL ait ok Oe ‏بيش تعيين شده است‎ اد | صورت گرفته اند ؛ ب ) ثبت موارد استفاده از امتيازات ويزه سيستم ؛ ایا سا ث ) ارائه روش هاي مناسب براي تعيين اعتبار؛ Sy ee ES ee Te need 

صفحه 58:
ار ۱ سيستم هاي كاربردي بايد : للف ) دسترسي كاربرسبه اطلاعات و فانكشن هاي سيستم كاربردي را بر اساس خط مشي کنترل دسترسي را کنترل نماید ؛ ما ا ا ل سل امكانات » نرم افزار بسيستم عامل و نرم افزارهاي مخربسي كه موجب كندي سرعت سيستميا كاهش تاثير كنترل هاي نرم افزار كاربردي مي شوند را بعمل آورد ؛ ب ) ساير سيستم هليي.كه مشتركا"از منلبع اطلاعلتي استفادهممي کنند را به مخاطره نینداز 5 3 ۱ 

صفحه 59:
2 - اکتساب ( خرید )» توسعه و نگهداري سیستم هاي اطلاعاتي 1-2 الزامات امنيتي سيستم هاي اطلاعاتي ل ل ل لا ‎CO eh et te ee)‏ ۱ ‎ke) eRe fe)‏ 0 ‎Re US ree tte eng‏ بخشي از موارد كاري مربوطبه سيستم اطلاعلقي » لازم و ضروري خواهد بود. 

صفحه 60:
۱ افزارهاي ‎S925‏ ‏هدف : جلوگيري از هر گونه اشتباه ؛ خسارت » هر ‎Lee lero yas rsd 9 T > died‏ لاي اطلاعات موجود در فرم افزارهاي كاربردي. موارد كنترلمي مناسب بايد در نرم افزراهاي کاربردي از جمله نرم افزارهاي تولید شده توسط ‎ren en‏ 20000000 ONG ar Ar gn) 

صفحه 61:
‎ig 2)‏ مر ار ‎ee‏ ‏و سا یا در ۱ ا دا با ‎not eee‏ ی ‎eee TY eB Den De eke eR‏ شد. آنها بليد اطمينان حاصل نمايند كه تملمى تغييرات بيشنهادى ل ا لل ل 4 ۳ 

صفحه 62:
ل ‎BB ee‏ تغييرات در سيستم عامل PS ree) Tee eer oat Pere eee) Fs) oe ee ee te ed ‏كاربردي مهم و حياتي صورت بذيرد و تست هاي لازم‎ Ee ONY 0 ‏سازمان يا امنيت در برابر تاثيرات سوء ناشي از اين‎ 1 Fe pe 

صفحه 63:
ل 0ت در بسته هاي ‎OL sy‏ سلطا ل لكر ‎eo‏ ل ‎TO‏ ‏از جمله مواردي است که بلید مد نظر قرار داده ‎ers) ea hie Bere‏ ۲ ‎Rey Tp ee pe)‏ 

صفحه 64:
3 ee Tee enn ep ee sD eee RC TS TR UES) Se cr eed aed) PP a ‏ا‎ re ety ‏سازماني در معرض لین گونه آسیب پذيري‌ها قرار گرفته‎ 0 Be ee TOs ee) ‏آن به عمل آید.‎ 

صفحه 65:
OES RT ST oe ‏ی‎ 6) oe | ‏ی‎ ee ee ee eee T oral B ne) ‏امنيت اطلاعات.‎ براي آنكه شرليط لازم براي برداختن و بررسي رويدادهاي امنيت اطلاعات ا م0 ا ا ‎[ERIC‏ ‏مسئوليت ها و رويه هاي اجرليي تعيين وبه مورد اجرا كذاشته شود.اجراي فرآيند بهبود مستمر در بروسه عكس العمل » نظارت و مديريت كلي حوادث اه سا در مواردي‌که ارلثه اله و شولهد لازم دانسته شده باشد » لازم خولهد بومتا نسبت‌به جمع آوري آنها اقدام وجه لین ترتیب از انطباق‌جا الزامات قانوني ‎ole gylnobl‏ 29903 

صفحه 66:
‎eed heel EC a‏ سل با فعالیت ۳ ‎۱ ad ‏را‎ Te eine ۳ See Se eee) Pp ‏لا لا در سا‎ ۱ eB OB) 

صفحه 67:
1-5- انطباق با الزامات قانونی Ree rer ee ecm a eer eter) fe Bee eC er a eo CT eo ee ers Teed ‏اه سا‎ ‏مشاورمبا مشاويين حقوقي سازمانميا كارورزان حقوقي ذيصلاح‎ Bees eager Ter ed PPE eae ‏ا‎ Pry ۱ ayers fern) Te ee TB a By ee Rte nia Ree ted re ee 

صفحه 68:
3-65 ملاحظات مربوط به مميزي سیستم هاي اطلاعات رل مميري سیستم هاي اطلاعلتي یا تداخل هاي ناشي از این ف رآیند. ۶۳۳ Oe er eT se ee ee eC ‏دا ی مس‎ ‏لل اس‎ nT eens) ed 

صفحه 69:
000 هت ‎re Rena Lea Lene‏ 

صفحه 70:
1- تشکیلات امنيتي 2 تشکیلات امنيتي سازمان » متشکل از سه جزء اصلي به شرح زیر مي باشد : بش ی مر ا 50ت ل ‎Nr Oe ped‏ ‎a Ee Tc aoe le‏ لت 

صفحه 71:
‎ee tC a‏ ل ا ل ‏1. مدیر سازمان ( رئیس کمیته ) ‏2. نماينده ويزه مدير سازمان ‎۱۵ lw es) ‏4 مدیر فن آوري اطلاعات سازمان لل 

صفحه 72:
| مدیر امنیت سازمان مديريت واحد يشتيبلني امنييت سازمان راجه عهده دارد و ‎ree Lok Ts)‏ ا م ا ا ۱ 8 قيم هاي يشتيباني امنيت سازمان تیم هاي كارشناسي که زیر نظر مدیر امنیت سازمان فعالیت تا را 

صفحه 73:
2- ليستي از کلیه دارايي هاي مهم اطلاعاتيتهیه نمائید: برخي از دارايي هاي اطلاعاتي عبارتند از : ۱ ۱ ‎ner eed ee 9‏ 1 ‎re se ee eld e200)‏ ۱ فرم افزارها : شامل سیستم عامل ها مانند »,او سل نرم افزارهاي كاربردي ‎ee ees‏ را ۱ دزی ی سس ترا ‎oa) Sey‏ ۱ ‎G16 Cav aCe MCC RCL ang‏ ۱ 

صفحه 74:
NNN MPP ReT er ee RCN OR here ys ‏پشتیبان » اسناد» فلیل ها و داده‌ها ی در حال انتقال در شبکه » فیلم ها ؛ اسناد‎ ۰ ... ‏چاپ شده و‎ | الت | 215 و 2816 » ارتباطات ‎FRPCRTIO ROR Raye etre man seers‏ 01110 » ‏کاربران : شلصل مدیران » کارشناسان فني و کاربران عادي ادارات‎ a ‏تا‎ Te eres Ener rene ns Bone) ‏شبکه » پیمانکاران مرتبط با شبکه و سایر كاربراني‌کمبه نحوي با بخش هاي‎ . ‏مديريتي و يا كاربردي درون سازماني شبکه در ارتباط مي باشند‎ 

صفحه 75:
3- اهداف كنترلي را مشخص کنید : اا ل ‎POL IRR‏ نظر بكيييد و اهداف كنتيلي سازمان خود را مشخص كنيد. لين اهداف نبليد كمتر از اهداف مورد نظر ايزو 27002 باشد. برخي اهداف کنترلي عبار تند از: ی رم سای سس 202000 ‎ae‏ ل ل ين - كاهش رخنه يذيري به شبكه 

صفحه 76:
۱۳ ‏ا سل‎ eT Seen ta . ‏براي سخت افزارهاء متناسب با حساسيت آنها‎ - تامين صحت عملكرد و قابليت دسترسي براي نرم افزارها » RO Tee ‏ا ل ل‎ ee . ‏متناسب با طبقه بندي اطلاعات از حیث محرمانگي‎ - تامین قابلیت تشخیص هویت و حدود اختیارات کاربران ۰ - حفظ حریم خصوصي کاربران و .-.. 

صفحه 77:
3- براي رسيدرببه اهداف كنترلي » اقدامات كنترلي طراحي نمائيد: با در نظر كرفتن 133 كنترل امنيتي ايزو 27001 و اخذ نظر مشاویین امنيتي و با توجهبه نوع دارايي هاي اطلاعاتي ‎Pee ee eer meee ree creme) ees‏ ‎Prone mene ov ats ee Re Reena kom fe‏ امنيتي نمائید. 

صفحه 78:
= | ee! ‏آموزشي امنيتي طراحي و اجرا کنید.‎ 5- دستور العمل هاي اجرليي را طراحي و و توسط 1 6- برنلمه ارزشيلبي» بازنگري و مميزي طراحي و اجرا نمائید. 

صفحه 79: