صفحه 1:
۱55 Information Security Management System ‏سيستم مديريت امنيت اطلاعات‎

صفحه 2:
اطلاعات ( مانند سایر دارائی‌های سازمانی ) به عنوان یک دارائی مهم و بارزش برای هر سازمان به حساب می‌آید و در نتیجه نیازمند ارائه راهکارهای حفاظتی لازم برای نگهداری آنها . می‌باشند . ere Feige ee cea ec Tso egr eee meow’ cai 131 ©7470] 0) Bee ca] FEO ‏اا‎ ee esos 3s NE ORY Fe ee een ee ee Ree ea Te ene Sch موسسات 1500 و 16 از موسسات بین‌المللی تدوین استاندارد در سطح جهانی می‌باشند که کمیته مشترکی را به نام 621[ برای تدوین استانداردها تشکیل داده‌اند 1۳ i ey scam ‏و ل‎ Be Ae 2 TN orn coe . ‏ارائه شد و سپس توسط 101[ يذيرفته شد‎

صفحه 3:
اصول مهم درامنيت اطلاعات ا ۱ ا محرمانگی : اطمینان از اینکه اطلاعات فقط در دسترس افراد مجاز قرار دارد .. صحت : تامين صحت »دقت. و کامل بودن اطلاعات و روش‌های پردازش آنها 0 دارائی‌های مربوطه به آنها دسترسی دارند . ee enn nT naar macro notr ow ۱ Te ed ea aD oa Reel a aod ‏کاربردی باشند .این کنترل‌ها برای اطمینان از برآورده شدن اهداف امنیتی سازمان‎ ‏بایستی اجرا گردند.‎

صفحه 4:
ISMS (Information Security Management System) " براساس استاندارد 27001 150 در کنار دیگر سيستمهاي مدیریت به خصوص ‎Ry RCC‏ و ۱ مستفر مي‌گردد. م« تامین کننده امنیت اطلاعات سازمان مبتني بر رویکرد فرآيندي است ۰ ل ‎AL)‏ ل ا ‎ESCM ES nce yay Ie)‏

صفحه 5:
11111118 ‎ee od‏ ا ل ل ا ۱ سازی, عملکرد. نظارت. مرور ۰ نگهداری . و بهبود امنیت اطلاعات است. 00 See nes NO 10)/] 20100 010 * منظور از مدیریت کلي » رعایت سایر استانداردها مي باشد.

صفحه 6:
ISMS (Information Security Management System) ‎Van ON Oe‏ ل ات ‏دستورالعمل مدیریت امنیت اطلاعات ال ‏پایه گواهینامه شخص الث ‏قابلیت کاربرد براي تمامي بخشهاي صنعت ‏تاکید بر پیش گيري

صفحه 7:
سری استانداردهای 270016 150/1۳۴60 ISO/IEC 27001:2005, Information security management systems — Requirements UC tey ieee hoes Regen e ts i cowed ISO/IEC 27002:2005, Code of practice for information security management بن نامه كاري مدیریت امنیت اطلاعات ‎ISO/IEC 27003, Information security management system‏ ‎implementation guidance‏ راهنماي پیاده سازي سیستم مدیریت امنیت اطلاعات ‎ISO/IEC 27004, Information security management —‏ ۹( مدیریت امنیت اطلاعات - سنجش ‎ISO/IEC 27005:2008, Information security risk management‏ ‎Fores ewe re Eesreepeny‏ ‎ISO/IEC 27006:2007, Requirements for bodies providing‏ ‎audit and certification of information security management‏ اتویوت نم ۵ راهنماي مميزي سیستم هاي مدیریت امنیت اطلاعات

صفحه 8:
6 ل 4 + ۰ ۰ الال تا SOS aod reas a ST افزايش تضمين اعتبار قانوني سازمان افزایش جنبه هاي تداوم کسب وکار شناساتی دارايي هاي بحراني از طریق ارزيابي ریسك ایجاد يك ساختار براي بهبود مستمر افزايش شناخت ولهميت مسائل مربوط به امنيت درسطح مديريت ‎ome Tee Sts Pere‏ 0

صفحه 9:
2 0 ٠ 3 ۰ ۰ ۰ ۰ ۰ ۰ ۰ ۰ ا ات ا كه ‎(Gap Analysie )‏ Rens, a حوزه های مرتبط با آموزش و آگاه سازی حوزه های مرتبط با وابستگی سازمان به کارمندلن م 1100 ‎eS nie heat ayo‏ حوزه های مرتبط با بازرسی ی رس ی ات ات 1 حوزه های مرتبط با سخت افزار و نرم افزار حوزه های مرتبط با شبکه حوزه های مرتبط با کاربران

صفحه 10:
تعيين محدوده استقرار سيستم مديريت امنيت اطلاعات ‎SCOPE )‏ ( دامنه ومرزهای سیستم مدپربت امنیت اطلاعات بر مبنای ویژگی ۱ ۱ همجنين جزئيات و توجيه براى كنا ركذارى هر جيزى از دامنه را شامل م باشد

صفحه 11:
تعيين دارائي هاي (سرمايه هاي) سازماني مستندات كاغذي دارائي هاي اطلاعاتي داراتي هاي فيزيكي 000 كن ۱ منابع انساني خدمات

صفحه 12:
تعيين سياست هاى امنيتى سياستهاي امنيتي سرويسهاي فضاي تبادل اطلاعات سازمان سياست‌هاي امنيتي سخت‌افزارهاي فضاي تبادل اطلاعات سازمان سياست‌هاي امنيتي نرم‌افزارهاي فضاي تبادل اطلاعات سازمان سياست‌هاي امنيتي ارتباطات و اطلاعات فضاي تبادل اطلاعات سازمان ا سياست‌هاي امنيتي کاربران فضاي تبادل اطلاعات سازمان

صفحه 13:
جكونكي 7 امنيتي ا امنيتي Pere Sere esbe ‏اصول واهداف والزامات داخلی‎

صفحه 14:
۲ برآورد و مدیریت ریسک احتمال

صفحه 15:
۲ صصمووعوع۸ 131616 STEP 1: SYSTEM CHARACTERIZATION 0 /17101177311011-62116/10 STEP 2: THREAT IDENTIFICATION. 711۲621-50۲6 ۱06600 Motivation and Threat Actions STEP 3: VULNERABILITY IDENTIFICATION. Vulnerability Sources ‏لز أالاءء5 6/77]و/زد‎ 659 Development of Security Requirements Checklist

صفحه 16:
11516 ۸9۵ STEP 4: CONTROL ANALYSIS. STEP 5: LIKELIHOOD DETERMINATION. STEP 6: IMPACT ANALYSIS . STEP 7: RISK DETERMINATION. ee ‏ل‎ ‏اك تاه‎ a kA STEP 8: CONTROL RECOMMENDATIONS STEP 9: RESULTS DOCUMENTATION

صفحه 17:

صفحه 18:
Risk Mitigation ~ RISK MITIGATION OPTIONS. ~ RISK MITIGATION STRATEGY. _ APPROACH FOR CONTROL IMPLEMENTATION.. _ CONTROL CATEGORIES . Technical Security Controls. _ Management Security Controls 0” Controls. _ COST-BENEFIT ANALYSIS . _ RESIDUAL RISK .

صفحه 19:

صفحه 20:
نام تهدید عدم پردازش درست داده‌ها نگهداری نامناسب داده‌ها آسیبرسیدن به شبکه بخطرافتادن فرایند خرید تجهیزات سخت‌افزاری جدید بخطرافتادن انتخاب مناسب الزامات امنیتی برای سختلفزار جدید ناسازگاری سیستم جدید با زیرساخت سازمانی ناسازگاری نرم‌افزارهای موجود برروی سخت‌افزار جدید با زیرساخت سازمانی ارائه تائیدیه‌های نامناسب از سوی مدیریت فقدان تست سخت‌افزار 65 65 60 60 45 5۱ آستانه پذیرش 30 30 30 30 30 30 30 30 30

صفحه 21:
طرح تحليل مخاطرات امنيتى تجزیه و تحلیل شبکه و تعیین مخاطرات لمنیتی معماری شبکه ارتباطی ۳ 1 سرویس های شبکهارتباطی تشکیلات و روش های تامین امنیت شبکه ار آسیب پذیریها 0 تست امنيتى سيستم تعیین ریسک ا تن آستانه ‎open‏ ریسکا ارائه راه حلهای کلی برای کاهش آسیب پذیری ها . تهدیدات و ریسک ها

صفحه 22:
ا 1ت ‎aie!‏ را ۲ ممماری شبکه ا ا پروتکلهای شبکه 56۳۷۲۵0 | ‎am‏ رز ‏- ارتباطات ‏© امنیت قنی شبکد ‏طرح تهیه نسخ پشتیبان ‏7 لمنیت فیزیکی شبکه ‏سیستمهای کنترل جریان اطلاعات و تکیل نواحی امنیتی ارائه ساختار معماری 1 مناسب برای شبکه ‎Pers ‏ا‎ ear Ws 1B) Vacs ra

صفحه 23:
1 Accounting 3 ONS یر Filtering Monitoring Web Cache ات یا ‎cape‏ ‏سيستم‌هاي تشخیص هویت. تعیین حدود | سيستم‌هاي ثبت و تحلیل رویدادنامه‌ها سيستمهاي رمزنكاري اطلاعات ل رت تسد ‎Cee ed‏ نرمافزارهاي مديريت امنيت شبكه 520007

صفحه 24:
ارائه طرح جامع امنيت شبكه و اطلاعات 2- ارائه نمونه هاى مناسب دستورالعمل ييكربندى امن و جك ليست ات ۱ طراحي ساختار فيزيكي شبکه تعيين تجهيزات غيرفعال مورد نياز شامل كابلها : ركها . داكتها . بج ينل ها . كيستون ها و » بلتتار آدرس دهی oe ۰ ۴ تجهیرات شبکه. ایح وس ا | ا ‎ee OS‏ | ل ل اا | ا تقسيمبندي آن Seat 83700 ‏ساختار كلي‎ ee

صفحه 25:
ارائه طرح جامع امنيت شبكه و اطلاعات VSS outs ‏ل ا‎ eter تعیین سیستم عامل هاي مورد نیاز تعيين سرورهاي مورد نياز طراحي ساختار سوئیچنگ شبکه ۱ طراحي ساختار ارتباطي شبکه sree Sees 0 ‏ل‎ ea es econ pcos ‏طراحي نحوه برقراري ارتباط کاربران خارجي با شبکه داخلي‎ طرلح شاختار مسيرياني شيعه ۱ oleae ‏سای ال هه‎ تعیین تجهیزات امنيتي مورد نیاز شامل : 15/11۳/1۳5 ,۲۳6۵11 ,

صفحه 26:
1 BNI 1 2 ORE REND IP ee cae ‏طراحي ساختار ]۷ مناسب براي شبکه‎ [0 VA ea wenpes ey ‏تعيين سياستهاي امنيتي شبكه‎ Oe ‏ام‎ ane eee ‏بروزرساني, روالهاي مستندسازي شبکه‎ ۱ ‏اي‎ ‏تهيه و توسعه محصولات نرم افزاري در صورت نياز‎ ER eee Crit Ree Re srene ee) 00 e-\: (8 sy Co ieee ci nw ered ‏تعیین محل مناسب جهت سایت مركزي‎ fs Se en oo nent vere ‏ا‎ Tecra ‏قفلهاي الكترونيكي جهت سایت مركزي‎ ‏تعیین ركهاي مناسب در نقاط توزیع‎

صفحه 27:
ارائه طرح جامع امنيت شبكه و اطلاعات " تعیین کابل كشي و داکت كشي مناسب از نظر امنيتي در هر بخش اتعيين سيستم ضد حريق جهت سايت مركزي ۱ alse سيستم‌هاي تشخیص هویت. تعیین حدود اختیارات و ثبت عملکرد کاربران سيستم‌هاي ثبت و تحلیل رویداد نامه‌ها | نرمافزارهاي نظارت بر ترافیک شبکه نرمافزارهاي يويشكر امنيتي نرمافزارهاي مديريت امنيت شبكه

صفحه 28:
تهدیدات, رخه‌ها: صدمات مس میزان اطمینان مورد ناز مت لیست کنترل های استاندارد مس کنترل‌های انادی

صفحه 29:
Re re eee see pores ISO/IEC 27001

صفحه 30:
حوزه هاي يازده كانه 27001 150/1180 re meinen, er مدیریت تداوم کسب و کار لس ات امتیت اطلاعات تهیه؛ توسعه و نگهداري ‎EE‏

صفحه 31:
هدف : جهت گيري و جلب حمایت مدیریت از امنیت اطلاعات إرنياط با نيازمنديها و قوانين و مقررات

صفحه 32:
حوزه دوم-سازماندهى امنيت اطلاعات ۱ i. ۱ |||

صفحه 33:
حوزه سوم - مد ۳۳ 8 دارايي هاي اطلاعاتي © دارايي هاي نرم افزاري © دارايي هاي فیزب © تأسيسات و سرويس هاي مرتبط ©افراد و تجارب و شايستگي هاي آنان(منابع انسانی) دار های معنوی, نظير حيثيت و اعتبار سازمان

صفحه 34:
حوزه سوم - مديريت داراد

صفحه 35:
۱۳ ‏سوت‎ OY منظور از بكاركيري در اينجا تمامي موارد استخدام , تعيين مسؤوليت هاي جديد. تغيير مسؤوليت: به كاركيري نيروهاي Cee eee ee سر

صفحه 36:
eee Rae ia SL EOS آگاهی نسبت بهامنیت وظایق. در اختيار قرار دادن دستورالعمل هاي امنيتي 232000 eres tee) آگاهي و هشياري نسبي در امنیت مسائل مرتبط با حوزه کاری آشنائى با امنيت در بين كاركنان سازمان مهارت و صلاحيت 0 ا ‎dl‏ ‏ات0

صفحه 37:
حوزه چهارم - امنیت منابع انساني ۱ ||

صفحه 38:
حوزه ينجم - امنيت محيطي و فيزيكي 1 ik سس

صفحه 39:
۳ ل لل

صفحه 40:
ع ات ۱ ۱ |

صفحه 41:
ع ات

صفحه 42:
ع ات ۱ | ۱۱ ۱

صفحه 43:
ی تاو ی وروی رز یی سوت وی

صفحه 44:
حوزه ششم - مدیریت ارتباطات و عملیات ۱ | |

صفحه 45:
020 aM a IST خآ هك اا ] eee حجج جه ‎eS‏ ‏1 يد خی سسکا ۳

صفحه 46:
| حوزه هفتم - کنترل دسترسي

صفحه 47:
۱ 9 «۳

صفحه 48:
oe ariel aah

صفحه 49:
حوزه هشتم - تهيه. نكهداري و توسعه سيستمها

صفحه 50:
۳ MU Ln Rr al aa RD —

صفحه 51:
‎oe‏ ا مت ار سس متا ‏سس و

صفحه 52:
حوزه نهم - مدیریت حوادث امنیت اطلاعات il

صفحه 53:
حوزه ‎el‏ كسب و كار

صفحه 54:
لت ل 1

صفحه 55:
حوزه بازدهم - مطابقت با قوانین سس ا ا 0

صفحه 56:
طرح يشتيبانى از حوادث 0 2 2220 5 ‏ا ا ل ا‎ ga fe 00 ‏ا ا ا‎ Ces gS ‏تفوذ به شبکه ها تغبیر خواهند یافت و سیستم امنیتی شبکه و اطلاعات سازمان بر اساس‎ 1 ene ve Me nen nee res Conn ear pe Ln ees ey ‏هاي جديدي شبکه و اطلاعات سازمان را تهدید مي نمایند و در صورتي که از راه حل هاي جدید‎ ‏استفاده ننمائیم ۰ سیستم شبکه و اطلاعات سازمان بسیار آسیب پذیر خواهد شد و عملا فعالیت‎ ۳ omen esr en ERO ar Ps FS espe an eertearsry براي حل مشکلات ذکر شده در سیستم مدبریت امنیت اطلاعات و شبکه ۰ تشکیلات وطرح های پشتيباني ‎hm hl Sal) EN Eee hn me SO Carel‏ ی مرا

صفحه 57:
طرح پشتیبانی از حوادث ON ener Core Epes el Cree ee Fe SRE re ese aed oi ner ene enone ‏کدهاي مخرب‎ ‏دسترسي غیر مجاز‎ - ۱ 20 ا ۱ ‎are Spe rel ceca en enh re‏ ۱ پاسخ به حوادث وفواید آن ذکر مي گردد.

صفحه 58:
طرح پشتیبانی از حوادث ارائه سياست ها و رويه هاي يشتيباني حوادث اا 1 ۱ 1۳ تیم پاسخ به حوادث توزیع شده تيم اطلاع رساني ‎Re ee‏ وظایف تیم پشتيباني حوادث ارزيابي آسیب پذيري ها تشخیص تهاجم - آموزش ۳

صفحه 59:
متدولوژی پشتیبانی از حوادث ا ا ل ا ل ‎Seo‏ ‏9 ‏محدود سازى . ريشه كنى و ترميم ۰ فعالیت های بعد از ترمیم

صفحه 60:
PPD LOPY/ 11's Be econ ROmn COPeL SN pester] ‏سازمان‎ با توجه به خروجي فاز هاي قبلي . آندسته از کنترل هاي استاندارد 150 1 که براي سازمان مناسب مي باشند انتخاب مي گردد. ل ع ل ا ارا

صفحه 61:
Reeser pe) تشکیلات امنیت اطلاعات سازمان

صفحه 62:
و ۱ متشکل از سه جزء اصلي به شرح زیر مي باشد: 1 cor FO FL cmnwes Tg ice PROD BRU eco pen ey. oer a BL come ies el I cpr, O owee i cece ee. ee

صفحه 63:
اجزاء و ساختار تشکیلات امنیت اطلاعات سازمان ‎tag‏ رات ‎

صفحه 64:
Fa) CS) ‏ا‎ ner Coen ag be eri wpe a . شرح وظاین کمیته راهبری امنیته بررسي, تغییر و تصویب سياستهاي لمنيتي پيگيري اجراي سياستهاي امنيتي از مدیر امنیت تافید طری‌ها وبرنمه‌هي امنیت سازمان شامل ‎eee‏ ‏طرح امتیت شبکه طرح مقایله با حوادت و ترمیم خریها سم تیان کررره ‎Sigel aby‏ هاى امنيتى

صفحه 65:
Fa) OS] ‏لت‎ resp Coen eden wpe a ٠ 0500 Fe ge) ا ل ل ل لت تهیه طرح‌ها و برنامه‌هاي امنیت سازمان با کمک واحد مشاوره و طراحي نظارت بر اجراي كامل سياستهاي امنيتي مدپریت ونظارت پر واحد پشتیبانی امنیت سازمان تشخیص ضرورت و پیشنهاد بازنگري و اصلاح سياستهاي امنيتي تهیه پیش نویس تغیبرات سياستهاي امنيتي

صفحه 66:
Fas) oS ove ‏ا‎ fea Ca eve) be owe ir ed reek eee nel ‏ا‎ ۱ eer ede ete 7 ۳ ۳99 ۲ ‏از‎ ۵ GSE TE Ca) Fe ec Pe PC CoCr Ne eee ‏مدیران سرویسها‎ ‏مرور روزانه گزارش سیستم تشخیص تهاجم به منظور تشخیص تهاجم‌هاياحتمالي‎ چم 1 12111111111111 ‎eee ee teed‏ ۳ ‎pees ar eT NP eee‏ 1 اعمال تغبيرات لازم در سيستم أمنيت شبكه؛ بمنظور مقابك با تهاجم جديد. ا ا 00 ‎Reco‏ ‎ere‏ عو شرت يم سن سي معد شن ميري تيضم عدن تير لت کی ‎Tore ele‏ انح ‎De pe ye ey eee eee rere een eee)‏

صفحه 67:
۱ er We pea ‎FU cone fe foun eT yT eB et See ee Recs 9‏ كاري و سرویس دهنده‌هاي شبکه دستگاه به صورت دوره‌اي ( هر سال یکبار) ‏نصب نرمافزار ضدويروس روي ايسستكاههاي كاري مديران و ارائه اطلاعات لازم ببه ساير كاريران. جهت نصب نرم‌افزار. ‏نصب نرماقزار ضدويروس روي كليه سرويس دهندههاي شيكه دستكاه اا ا الا ا ‎BRS ao ea ere‏ سرویس‌دهنده‌ها و اائه آن به کاربران شبکه از طریق واحد هماهنگي و آگاهي‌رساني امنيتي. ‎el: eSBs‏ 2 ‎RULE nae, oR Oneares Serer nme ey ‏ارلئه روشهاي مقایله با ویروسها به تیم هماهنگي و آگاهي‌رساني امنيتي, جهت اعلام‌به کاربران و انجام اقدامات لازم. ‎000000 ‏و ‎Fe erp ‏ا‎ Fes Rese re ye eee Soe Oe a Poe ‏ا‎ ae) ‎

صفحه 68:
‎ire‏ ل ا | اطلاعات سازمان ‏انتخاب ابزارهاى مناسب جهت محافظت فييزيكى از تجهييزات و سمايههاى شبكه در مقابل حوادث فييزيكى 0 ‏مرور روزاته رویدادنمه‌های دسترسی فیزیکی به س‌مایههای شبکه بویژء در سایت. ‎Pier erat eye Been ey sc eat eee ala tere Seon ‏از تامین امنیت فییزیکی آنها.‎ ‏مطالعه و بررسى حوادث فييزيكى جديد و روشهاى مقابله با آن. ‏ا ل ل ا ل ل ۱] ‏ا 1 ‏ترمیم خراییهایناشی از حوادث فیزیکی. ‎۷ earners et ee Soc res eet 7 ‏تيم هماهدكى و آكاهى رسانى امنيتى.‎ ‏ا ا ال لا 1 ارانه اطلاعات لازم جهت آگاهی رسانی به کاربران در خصوص حوادث فیزیکی: توسط تیم هماهنگی و ‎ees:‏ ‎ ‎ ‎ ‎

صفحه 69:
Fa) Lorie fap | essen) usp Ca ewe) be er pe [۱ ke one مانیتورینگ ترافیک شبکه ( در حیطه مانیتورینگ مجاز) 1۹ ‏ا‎ mer penies Cen comely Wer) ut 9 011 ‏ات اا‎ Ce ee ee eT ‏ا ل‎ eee ICS eS) بيكربندي سختافزارهاي شبكه ذستكاه" با سياستهاي مربوطه. بازرسي دوره اي از نمافزارهاي موجود شبکه به منظور اطمینان از رعایت سياستهاي امنيتي مربوطهه بازرسي دوره اي از نرمافزارهاي خريداري شده و تطبيق بروسه "سفارش» خرید تست,نصب و ييكريتدي نرمافزارهاي شبكه ذستكاه" با سياستهاي مربوطه. بازرسي دوره اي از نحوه اتصال شبکه داخلي و شید مرس به اینترنت دستگاه. با سایر شبكه‌هاي ۱ بازرسي دوره اي از اطلاعات شبکه دستگاه به منظور اطمینان از رعایت سياستهاي امنيتي مربوطه. ا ل | 0 بازرسي دوره اي از روند تهيه اطلاعات يشتيبان. بازرسي دوره اي از روند تشخيس و مقابلد يا حواذث لسنيتي در شيعه دعاك د00

صفحه 70:
Fa) ‏لت‎ rer coewn yg ced er wpe | بازرسى دوره اى از روند تشخيص و مقابله با ويروس در شبكه دستكاه ‎oe‏ م لت يي ل بازرسى دوره اى از روند نكهدارى سیستم امنیتی شبکه در شبکه دستگاه ‏بازرسى دوره اى از روند مديريت تغييرات در شبكه دستكاه ‎۱ OB \ SESS I LSY eS ‏بازرسى دوره اى از ۱ بازرسى دوره اى از روند واكذارى فعاليتها به بيمانكاران خارج از دستكاه

صفحه 71:
۱9۱ ‏زا‎ resp Coew ng be er i pe شرح وظایف مدیریت تخ ات 1 Se eee ce eee ee ‏ی اس ای تا‎ ‏ل ا ا ل‎ بررسي آسي ب بذيري سختافزار. نرمافزار كاريردي. سيستم عامل خطوط ارتباطي و سرويسها و امنيت ا آگاهي‌رساني به طراحان شبکه و امنیت شبکه در خصوص آسيب‌پذيري فوق, بمنظور لحاظ نمودن در طراحي ارنه گزارش بررسي‌ها به تیم هماهنگي و آگاهي‌رساني ‏ بررسي موارد مربوط به جابجائي کربران شیکه و پرسنل تشکیلات امنیت شبکه بمنظورتغییر در دسترسي و حدود اختیارات آنها در دسترسي به سوماي‌هاي شبکه. بررسي نيازمنديهاي امنيتي و روشهاي ایمن‌سازي سیستم عملهاء سرویس‌دهنده‌هاي شبکه خطوط ارتباطي. ‎RSP error pe epic coe car teey Caren pC onanen meg‏ eo ee eee) ealeree Sees 0 1

صفحه 72:
2000 ‏ا ل ل‎ ene ped شرح وظايف نكهداري امنيت بررسي وضعيت عملكرد سيستم امنيتي شبكه. شامل: ا 0 عملکرد صحیح سیستم تشخیص تهاجم. ... عملكرد صحيح سيستم نيت وقابع. 0000008 ارائه گزارشات دوره ای در خصوص عملکرد سیستم امنيتي ‎HS een ere ie‏ ‎Cody‏ 1

صفحه 73:
جرخه استمرار بياده سازى 1511/15 50000 استقرار ۱5/5 شامل ا ل و رولها به منظور مدیریت مخاطرات در راستاي اهداف سازمان است. ‎Are‏ 6 و ۱ ۱ ۱ 1 Re yee gr OIG ers PS Pcl pcr JE ROE VTS ‏مطمتن شد‎ ‏که " محتوا و محدوده 1915 بطور دقیق و مناسب مشخص شده‎ فعاليتهاي مورد نیاز در این مرحله عبارت‌لند از 2 2 - تعريف خط مشى 151/15 3 - تعيين تهديدات 4 -ارزيابي تهدیدات ۱

صفحه 74:
جرخه استمرار يياده سازى ‎ISMS‏ Do ‏اجرا‎ در اين مرحله كليه كنترلهابايدعملياتي شوند ‎SL ean Vela anata‏ ان نسبت به امتیت در سازمان فعاليتهاي اين مرحله عبار.

صفحه 75:
جرخه استمرار يياده سازى ‎ISMS‏ Check ‏بررسی‎ برآورده شدن لهداف امنیت اطلاعات است. ‎aay Tea‏ لت ‎ ‏ارزيابي هيز ‎ ‎ ‏اجراي روالهاى ارزيابي و مرور فرابتدها و خط مشي ها ‎0000 ‎ ‎ ‏راز سيستم‌هاي امنيتي . جهت بهیو 0 سیستم امنيتي شبکه, استفاده و سپس در سیاستهای امنیتی شبکه اعمال

صفحه 76:
جرخه استمرار يياده سازى ‎ISMS‏ ‎R ee!‏ لك ‏ر زمان تعامل فناوري با اطلاعات: میتواند از نوع پیشگیرانه ‎

صفحه 77:

صفحه 78:
مميزي داخلي سازمان در حوزه كاري (500106 ) ۱ ‏ل ل لي ل‎ eS 0 ‏ا‎ ‎SS eS ‏ببس‎ BO an Por emcee EXP ey) Peer ‏امم ا‎ . ‏استاندارد 27001 150 مي باشد‎ fet errr merges

صفحه 79:
صدور گواهینامه بين‌المللي استاندارد 27001 150 " در پایان پروثه و پس از اینکه تشخیص داده شد که سازمان آماده ‎nal eo‏ ا ا لت مركز تصديق معتبر (8©) - لا800 0©16156311017) براي صدور كواهينامه دعوت بعمل مي آيد

صفحه 80:
4 4 + 4 ۶ 0 1 EE) افزایش اعتبار سازمان تضمين ياسخكوبي Eee ‏تضمین تعهد مدیریت‎ ee 1

صفحه 81:
دریافت گواهینامه کميزي هی کواشات , وميز ورهاي 7 00

صفحه 82:
با سپاس وتشکر مهديه كشميرى ‎kashmiri@um.ac.ir‏

ISMS Information Security Management System سيستم مديريت امنيت اطالعات مقدمه اطالعات ( مانند ساير دارائی‌های سازمانی ) به عنوان يک دارائی مهم و باارزش برای هر سازمان به حساب می‌آيد و در نتيجه نيازمند ارائه راهکارهای حفاظتی الزم برای نگهداری آنها ،می‌باشند . استاندارد ISO 27001تامين کننده يک سري از ابزارهاي سازگار با يکديگر براي سنجش مديريت امنيت اطالعات در هر سازمان با هر نوع کار يا حجم سازمان مي باشد .اين گواهينامه مي‌تواند براي يک سازمان يا بخشي از آن بخشهاي ديگر را دربرگيرد. ‌ دريافت و سپس در سازمان گسترش و موسسات ISOو IECاز موسسات بين‌المللی تدوين استاندارد در سطح جهانی میباشند که کميته مشترکی را به نام JTC1برای تدوين استانداردها تشکيل ‌ دادهاند . ‌ استاندارد بين‌المللی ISO/IEC 17799برای اولين بار توسط موسسه استاندارد انگلستان ارائه شد و سپس توسط JTC1پذيرفته شد . اصول مهم درامنيت اطالعات سه اصل مهم در امنيت اطالعات عبارتند از : oمحرمانگی :اطمينان از اينکه اطالعات فقط در دسترس افراد مجاز قرار دارد oصحت :تامين صحت ،دقت و کامل بودن اطالعات و روش‌های پردازش آنها oدسترس پذيری :اطمينان از اينکه کاربران مجاز در صورت نياز به اطالعات و دارائی‌های مربوطه به آنها دسترسی دارند . امنيت اطالعات به وسيله اجرای يکسری از کنترل‌های مناسب ،حاصل رويهها ، ‌ کنترلها ميتوانند به صورت خط‌مشی‌ها ، ‌ خواهد شد .اين ساختارهای سازمانی و يا نرم‌افزارهای کاربردی باشند .اين کنترل‌ها برای اطمينان از برآورده شدن اهداف امنيتی سازمان بايستی اجرا گردند . )ISMS (Information Security Management System بر اساس استاندارد ISO 27001در كنار ديگر سيستمهاي مديريت به خصوص استاندارد 9001ISOو تحت نظارت و مديريت مستقيم ميگردد. مديريت ارشد سازمان مستقر ‌ تامين كننده امنيت اطالعات سازمان مبتني بر رويکرد فرآيندي است اين سيستم براي پياده سازي از استانداردها و متدولوژي هاي گوناگوني مانند BS 7799و ISO/IEC 17799و (ISO 15408معيار های عمومی برای فنآوری اطالعات ) بهره مي گيرد. تعريف ISOاز ISMS قسمتی از سیستم مدیریت کلی ،برپایه روش ریسک کاری ،جهت تاسیس ،پیاده سازی ،عملکرد ،نظارت ،مرور ،نگهداری ،و بهبود امنیت اطالعات است. استاندارد ISO/IES 27001:2005مدلی برای برپائی ISMSموثر فراهم مي کند. * منظور از مديريت كلي ،رعايت ساير استانداردها مي باشد. )ISMS (Information Security Management System مشخصه اي براي مديريت امنيت اطالعات دستورالعمل مديريت امنيت اطالعات پايه اي براي ارتباط قراردادي پايه گواهينامه شخص ثالث قابليت كاربرد براي تمامي بخشهاي صنعت تاكيد بر پيش گيري ISO/IEC 2700k سری استانداردهای ISO/IEC 27001:2005, Information security management systems — Requirements سيستم هاي مديريت امنيت اطالعات – نيازمندي ها  ISO/IEC 27002:2005, Code of practice for information security management آئين نامه كاري مديريت امنيت اطالعات  ISO/IEC 27003, Information security management system implementation guidance راهنماي پياده سازي سيستم مديريت امنيت اطالعات  ISO/IEC 27004, Information security management — Measurement سنجش- مديريت امنيت اطالعات  ISO/IEC 27005:2008, Information security risk management مديريت مخاطرات امنيت اطالعات  ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems راهنماي مميزي سيستم هاي مديريت امنيت اطالعات  مزاياي پياده سازي استاندارد ISO/IEC 27001 نزديک شدن به وضعيت سيستماتيك و روش مند افزايش تضمين اعتبار قانوني سازمان افزايش جنبه هاي تداوم کسب وکار شناسائی دارايي هاي بحراني از طريق ارزيابي ريسك ايجاد يك ساختار براي بهبود مستمر افزايش شناخت و اهميت مسائل مربوط به امنيت درسطح مديريت بومي سازي فرهنگ و دانش امنيت اطالعات در سازمان اطالعات جاري سازمان ( )Gap Analysie ارزيابي اوليه در حوزه هاي مختلف ،با ارائه پرسشنامه ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ حوزه های مرتبط با مديريت حوزه های مرتبط با آموزش و آگاه سازی حوزه های مرتبط با وابستگی سازمان به کارمندان حوزه های مرتبط با دسترسی و حقوق دسترسی حوزه های مرتبط با رويه های سازمانی حوزه های مرتبط با بازرسی حوزه های مرتبط با خط مشی های امنيتی حوزه های مرتبط با مستندات حوزه های مرتبط با سخت افزار و نرم افزار حوزه های مرتبط با شبکه حوزه های مرتبط با کاربران ....... تعيين محدوده استقرار سيستم مديريت امنيت اطالعات ( ) SCOPE دامنه ومرزهای سيستم مديريت امنيت اطالعات بر مبنای ويژگي کسب وکار ,سازمان ،مکان ،دارائی ها وفن آوری آن تعريف مي شود و همچنين جزئيات و توجيه برای کنارگذاری هر چيزی از دامنه را شامل مي باشد تعيين دارائي هاي (سرمايه هاي) سازماني مستندات کاغذي دارائي هاي اطالعاتي دارائي هاي فيزيکي سخت افزار ها نرم افزارها اطالعات و ارتباطات منابع انساني خدمات تعيين سياست های امنيتی ‏ سرويسهاي فضاي تبادل اطالعات سازمان ‌ سياستهاي امنيتي ‌ ‏ سياستهاي امنيتي سخت‌افزارهاي فضاي تبادل اطالعات ‌ سازمان ‏ سياستهاي امنيتي نرم‌افزارهاي فضاي تبادل اطالعات سازمان ‌ ‏ سياستهاي امنيتي ارتباطات و اطالعات فضاي تبادل اطالعات ‌ سازمان ‏ سياستهاي امنيتي کاربران فضاي تبادل اطالعات سازمان ‌ چگونگي تشخيص الزامات امنيتي ريسك هاي امنيتي الزامات قراردادي وقانوني اصول واهداف والزامات داخلي برآورد و مديريت ريسک پيامد اجتناب انتقال كا هش پذيرش احتما ل Risk Assessment STEP 1: SYSTEM CHARACTERIZATION System-Related Information Information-Gathering STEP 2: THREAT IDENTIFICATION. Threat-Source Identification Motivation and Threat Actions STEP 3: VULNERABILITY IDENTIFICATION. Vulnerability Sources System Security Testing Development of Security Requirements Checklist Risk Assessment STEP 4: CONTROL ANALYSIS. STEP 5: LIKELIHOOD DETERMINATION. STEP 6: IMPACT ANALYSIS . STEP 7: RISK DETERMINATION. Risk-Level Matrix. Description of Risk Level STEP 8: CONTROL RECOMMENDATIONS STEP 9: RESULTS DOCUMENTATION Risk Mitigation RISK MITIGATION OPTIONS.  RISK MITIGATION STRATEGY.  APPROACH FOR CONTROL IMPLEMENTATION..  CONTROL CATEGORIES .    Technical Security Controls. Management Security Controls Operational Security Controls.  COST-BENEFIT ANALYSIS .  RESIDUAL RISK . ارزيابی ريسک نام آسيب‌پذ يری ظرفيت سنجی نامناس ب سخت افزارها ی جديد ريس ک آستانه پذير ش نام تهديد عدم پردازش درست داده‌ها ‏M ‏M 45 30 نگهداری نامناسب داده‌ها ‏H ‏H 66 30 آسيب‌رسيدن به شبکه ‏H ‏H 78 30 بخطرافتادن فرايند خريد تجهيزات سخت‌افزاری جديد ‏H ‏H 65 30 بخطرافتادن انتخاب مناسب الزامات امنيتی برای سخت‌افزار جديد ‏H ‏H 65 30 ناسازگاری سيستم جديد با زيرساخت سازمانی ‏H ‏M 60 30 ناسازگاری نرم‌افزارهای موجود برروی سخت‌افزار جديد با زيرساخت سازمانی ‏H پيام احتما ل د ‏M 60 30 طرح تحليل مخاطرات امنيتی تجزيه و تحليل شبکه و تعيين مخاطرات امنيتی ‏o ‏o ‏o ‏o ‏o معماری شبکه ارتباطی تجهيزات شبکه ارتباطی مديريت و نگهداری شبکه ارتباطی سرويس های شبکه ارتباطی تشکيالت و روش های تامين امنيت شبکه ارتباطی تعيين آسيب پذيريها oشناسائی منابع آسيب پذيری oتست امنيتی سيستم تعيين ريسک دارائی ها و فرايندها تعيين آستانه پذيرش ريسک ارائه راه حلهای کلی برای کاهش آسيب پذيری ها ،تهديدات و ريسک ها ارائه طرح جامع امنيت شبکه و اطالعات -1ارائه راه حلهای مناسب معماری شبکه پروتکلهای شبکه ‏Server farm  ‏Switching  ارتباطات امنيت فنی شبکه طرح تهيه نسخ پشتيبان امنيت فيزيکی شبکه سيستمهای کنترل جريان اطالعات و تکيل نواحی امنيتی ارائه ساختار معماری IPمناسب برای شبکه تهيه خط مشی های مناسب برای شبکه با توجه به نحوه دسترسی به منابع سازمانی ساختار DMZ ارائه طرح جامع امنيت شبکه و اطالعات ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ سرويس Accounting سرويس DNS سرويس FTP ‏Filtering ‏Monitoring ‏Web Cache نرمافزارهاي تشخيص و مقابله با ويروس ‌ سيستمهاي تشخيص هويت ،تعيين حدود اختيارات و ثبت عملکرد ‌ کاربران رويدادنامهها ‌ سيستمهاي ثبت و تحليل ‌ سيستمهاي رمزنگاري اطالعات ‌ نرمافزارهاي نظارت بر ترافيک شبکه ‌ نرمافزارهاي پويشگر امنيتي ‌ نرمافزارهاي مديريت امنيت شبکه ‌ ................ ارائه طرح جامع امنيت شبکه و اطالعات -2ارائه نمونه های مناسب دستورالعمل پيکربندی امن و چک ليست ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ طراحي ساختار کلي شبکه طراحي ساختار سايت مركزي طراحي ساختار فيزيکي شبکه تعيين تجهيزات غيرفعال مورد نياز شامل كابلها ،ركها ،داكتها ،پچ پنل ها ، كيستون ها و ... ساختار آدرس دهي ساختار مسير يابي ساختار دسترسي به شبکه تجهيزات شبکه سرويس دهنده هاي شبکه مديريت و نگهداري شبکه تشريح تغييراتي که همزامان با افزودن سيستم امنيتي در معماري ، تجهيزات ،سرويس دهنده ها و مديريت شبکه انجام مي گيرد تعيين پروتکل­هاي مورد نياز شبکه طراحي معماري IPشبکه و تقسيم­بندي آن طراحي ساختار کلي Server Farm ارائه طرح جامع امنيت شبکه و اطالعات ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ تعيين سرويس هاي مورد نياز جهت نصب روي سرورها تعيين سيستم عامل هاي مورد نياز تعيين سرورهاي مورد نياز طراحي ساختار سوئيچنگ شبکه تعيين سوئيچ­هاي مورد نياز طراحي ساختار ارتباطي شبکه طراحي ساختار ارتباطي سايت مرکزي طراحي ساختار ارتباطات شبکه داخلي با شبکه­هاي خارجي مانند شبکه اينترنت ،و .... طراحي نحوه برقراري ارتباط کاربران خارجي با شبکه داخلي طراحي ساختار مسيريابي شبکه تعيين تجهيزات مورد نياز جهت برقراري ارتباطات از جمله روترها ،مودم­ها و .... طراحي ساختار مطمئن براي شبكه تعيين تجهيزات امنيتي مورد نياز شامل ، Firewall ، IDS/IDP/IPS : ارائه طرح جامع امنيت شبکه و اطالعات ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ تعيين تکنولوژيهاي امنيتي مورد نياز شامل NAT، PAT، IP Sec، : ..... ،VPN طراحي ساختار VLANمناسب براي شبکه طراحي ساختار DMZمناسب تعيين سياست­هاي امنيتي شبکه تعيين روال­هاي امنيتي شامل روالهاي پيکربندي ،روال هاي دسترسي ،روال هاي مديريتي ،روال­هاي بروزرساني ،روالهاي مستندسازي شبکه تعيين تجهيزات برق اضطراري مورد نياز تهيه و توسعه محصوالت نرم افزاري در صورت نياز طراحي SANو NASدر صورت نياز تعيين Storage Deviceهاي مورد نياز تعيين روالهاي تهيه نسخ پشتيبان تعيين محل مناسب جهت سايت مركزي تعيين تهويه مناسب محل سايت مركزي تعيين دربهاي مخصوص جهت سايت مركزي تعيين قفلهاي الكترونيكي جهت سايت مركزي تعيين ركهاي مناسب در نقاط توزيع ارائه طرح جامع امنيت شبکه و اطالعات تعيين كابل كشي و داکت کشي مناسب از نظر امنيتي در هر بخش تعيين سيستم ضد حريق جهت سايت مركزي نرم‌افزارهاي تشخيص و مقابله با ويروس ‏ سيستمهاي تشخيص هويت ،تعيين حدود اختيارات و ثبت عملکرد ‌ کاربران ‏ نامهها ‌ سيستمهاي ثبت و تحليل رويداد ‌ ‏ سيستمهاي رمزنگاري اطالعات ‌ نرم‌افزارهاي نظارت بر ترافيک شبکه نرم‌افزارهاي پويشگر امنيتي نرم‌افزارهاي مديريت امنيت شبکه ................  متدولوژی ‏ISO/IEC 27001:2005 کنترل های استاندارد ‏ISO/IEC 27001 حوزه هاي يازده گانه ISO/IEC 27001 سازمانده ي امنيت مديريت اطالعات دارايي ها امنيت منابع انساني امنيت محيطي و فيزيكي خط مشي امنيتي حوزه هاي يازده گانه مديريت عمليات و ارتباطات مطابقت با قوانين مديريت تداوم كسب و كار مديريت حوادث امنيت اطالعات تهيه ،توسعه و نگهداري سيستم هاي اطالعاتي كنترل دسترسي حوزهاولخطمشيامنيتي هدف :جهت گيري و جلب حمايت مديريت از امنيت اطالعات در ارتباط با نيازمنديها و قوانين و مقررات سند خط مشی امنيت اطالعات بازنگری خط مشی امنيت اطالعات مربوطه خط مشي امنيت اطالعات اجزاء مستند خط مشي امنيت اطالعات oتعريفي از امنيت اطالعات سازمان oبيانيه اي كه بيانگر پشتيباني مديريت از اهداف و مفاهيم امنيت متناسب با اهداف و استراتژي سازمان است oتعيين چارچوب الزم براي رسيدن به اهداف و اعمال كنترل هاي ،نظير ساختار ارزيابي و مديريت مخاطرات oتوضيح مختصري راجع به خط مشي ها ،اصول ،استانداردها و نيازمندي هاي مطابقت با قوانين و مقرارت oتعريفي از مسؤوليت هاي عمومي و ويژه ،نظير گزارش حوادث امنيتي به مديريت حوزه دوم-سازماندهي امنيت اطالعات هدف :مديريت امنيت اطالعات در درون سازمان وطرف های بيرونی است حمايت مديريت ازامنيت اطالعات ايجاد هماهنگي در امنيت اطالعاتهاي امنيت تخصيص مسؤوليت اطالعات فرآيندهاي مجاز براي امكانات IT تعهدنامه حفظ اسرار سازماني تماس با مسؤولين تماس با گروه هاي ذينفع خاص بازنگري امنيت اطالعات توسط عوامل مستقل تشخيص خطرهاي مرتبط با طرف بيروني در ارتباط با هايامنيت وضعيت هاي مشتريان در نظر گرفتن امنيت در قرارداد با خارج از سازمان سازماندهي داخلي امنيت طرف هاي بيرون از س حوزه سوم – مديريت دارايي ها هدف :برآورد ارزش واقعي دارايي هاي سازمان فهرست اموال و دارايي ها انواع دارايي هاي عنوان شده : دارايي هاي اطالعاتي دارايي هاي نرم افزاري دارايي هاي فيزيكي تأسيسات و سرويس هاي مرتبط افراد و تجارب و شايستگي هاي آنان(منابع انسانی) دارايي هاي معنوي ،نظير حيثيت و اعتبار سازمان ارزش گذاري بر دارايي ها حوزه سوم – مديريت دارايي ها هدف :اطمينان از اينكه اطالعات با سطح مناسبي از حفاظت نگهداري و تبادل مي شوند. طبقه بندي اطالعات عالمت گذاري وکنترل دسترسی به اطالعات محرمانگي يكپارچگي قابليت دسترسي طبقه بندي اطالعات حوزه چهارم – امنيت منابع انساني قبل از بكارگيري منظ¶ور از بك¶ارگيري در اينج¶ا تم¶امي م¶وارد اس¶تخدام ،تع¶يين مس¶ؤوليت ه¶اي جدي¶د ،تغي¶ير مس¶ؤوليت، به¶ كارگيري¶ ني¶روهاي قراردا¶دي و¶ پايان دادن ب¶ه كار در¶هر ¶يك از م¶وار¶د فوق ¶است. هدف :اطمينان ازآنکه كاركنان ،طرف هاي قرارداد و كاربران طرف سوم وظايف خود را مي دانند ،صالحيت كار مورد نظر رادارند. وهمچنين به منظور كاهش خطر دزدي ،سوء استفاده و كالهبرداري در سازمان. درج امنيت در شرح خدمات مشاغل استخدام انتخابی تعهدنامه حفظ اسرار و محرمانگي لحاظ نمودن امنيت در تعريف شغل و منبع حوزه چهارم – امنيت منابع انساني حين بكارگيري آگاهی نسبت به امنيت وظايف در اختيار قرار دادن دستورالعمل هاي امنيتي انگيزه الزم براي لحاظ نمودن امنيت در سازمان آگiاهي و هشiياري نسiبي در امiنيت مسiائل مرتبiط بiا حوزه کاری آشنائی با امنيت در بين كاركنان سازمان مهارت و صالحيت مسؤوليت هاي مديران آموزش كاربران فرآيندهاي انضباطي حين خدمت حوزه چهارم – امنيت منابع انساني خاتمه دادن به كار هدف :اطمينان از اينكه به خدمت كاركنان، طرف هاي قرارداد و كاربران سازمان به شيوه مناسبي پايان داده مي شود. مسؤوليت هاي مرتبط با خاتمه دادن به همكاري بازگرداندن اموال حذف يا اصالح حقوق دسترسي خاتمه دادن يا تغيير در بكارگيري حوزه پنجم – امنيت محيطي و فيزيکي هدف :پيشگيري از دسترسي هاي غيرمجاز ،خسارت يا دخالت در سرويس IT ايجاد حصار الزم براي محيط هاي امن كنترل هاي ورودي هاي فيزيكي امنيت دفاتر ،اتاقها و امكانات محيط هاي امن حفاظت در مقابل تهديدهاي محيطي و خارجي كار در محيط هاي امن جداسازي محل هاي تخليه و بارگيري حوزه پنجم – امنيت محيطي و فيزيکي هدف :پيشگيري ازدسترسی غيرمجاز، خسارت يا لو رفتن داراييها و اطالعات سازمان بهداشت محيط كار ،ايمني و امنيت محل استقرا ر امنيت و ايمني تأسيسات جنبي نظير برق و تهويه امنيت كابل و كابل كشي تعمير و نگهداري تجهيزات امنيت تجهيزات بيرون از سازمان اسقاط نمودن يا مزايده امن تجهيزات خارج نمودن تجهيزات از محل سازمان بازنگري امنيت اطالعات توسط عوامل مستقل امنيت تجعيزات عمليات هدف :حصول اطمينان ازکارکرد صحيح وامن پردازش اطالعات وامنيت در ارتباط با خدمات شخص ثالث و همچنين به حداقل رساندن مخاطرات ناشي از تست سيستم ها وحفظ يکپارچگی نرم افزار واطالعات روندهاي عملكرد مستنده شده مديريت تغييرات تفكيك وظايف جداسازي تجهيزات آزمايشي از تجهيزات عملياتي روش هاي عملياتي و مسؤوليتها عمليات ارائه خدمات مورد انتظار نظارت و بازنگري در نحوه ارائه خدمات مديريت تغييرات در ارائه خدمات مديريت ارائه خدمات طرح هاي سوم مديريت ظرفيت شرايط قبولي سيستم طراحي و تست قبولي سيستم عمليات كنترل کدهای مخرب كنترل كد های سيار حفاظت از نرم افزار بدخواه تهيه نسخه هاي پشتيبان نگهداري از اطالعات پشتيبان فرآيندهاي بازيابي از نسخه هاي پشتيبان رمزنگاري الزم در نسخه هاي پشتيبان كنترل هاي شبكه امنيت سرويس هاي شبكه مديريت نسخه هاي پشتيبان اطمينان از حراست اطالعات در شبكه ها و حفاظت اززيرساخت پشتيباني کننده حوزهششم– ‏مديريتارتباطاتوعمليات مديريت رسانه هاي قابل حمل انهدام مناسب رسانه ها رويه هاي جابجايي اطالعات اداره کردن محيط های ذخيره سازی امنيت مستندات سيستم خط مشي ها و رويه هاي تبادل اطالعات توافقات تبادل داده و نرم افزار امنيت رسانه ها در هنگام انتقال سيستم هاي پيام رساني الكترونيكي سيستم هاي اطالعاتی کسب وکار تبادل اطالعات حفاطت از اطالعات ونرم افزار درتبادل يک سازمان با هر موجوديت بيرونی عمليات حفاظت از كالهبرداري ،تعارض حقوقي و ... امنيت تراكنش هاي بر خط اطالعات در دسترس عموم سرويس هاي تجارت الكترونيكي نظارت بر فعاليت هاي ثبت شده نظارت بر نحوة كاركرد و استفاده از سيستمها حراست از وقايع و اطالعات ثبت شده مديريت ثبت كارهاي مديران و اپراتورهاي شبكه خطاها ثبت همزمان نمودن ساعت سيستمها نظارت تشخيص فعاليت هاي غيرمجاز پردازش اطالعات حوزه هفتم – کنترل دسترسي هدف :كنترل دسترسي به اطالعات وپيشگيري از دسترسي های غيرمجاز مي باشد ايجاد ,تدوين وبازنگری کنترل دسترسی به اطالعات خط مشي مستند شده كنترل دسترسي ثبت كاربران مديريت دسترسي با اختيارات ويژه مديريت رمز عبور كاربران بازنگري در حقوق دسترسي كاربران مديريت و حصول اطمينان ازدسترسي كاربر حوزه هفتم – کنترل دسترسي بكارگيري رمز عبور تجهيزات بدون مراقبت کاربر مسؤوليت هاي كاربر خط مشي ميزپاک و صفحه پاک پيشگيري از دسترسي غيرمجاز کاربران خط مشي استفاده از خدمات شبكه تصديق هويت كاربر در ارتباطات بيروني شناسايي تجهيزات در شبكه حفاظت پورت هاي تنظيم و رفع عيب راه دور شبكه ها از در تفكيك كنترل اتصال به شبكه كنترل مسيريابي كنترل دسترسي به شبكه حفاظت از دسترسي غيرمجاز به سرويس هاي شبكه حوزه هفتم – کنترل دسترسي رويه هاي دستيابي امن كاربر شناسايي و تأييد هويت كاربر سيستم مديريت رمز عبور استفاده از امكانات ابزاري سيستم انقضاي زماني پايانه كاري محدوديت زمان اتصال محدوديت دسترسي به اطالعاتاطالعات جداسازي حساس كنترل دسترسي به سيستم عامل كنترل دسترسي به برنامه هاي كاربردي حوزه هفتم – کنترل دسترسي هدف :تضمين امنيت اطالعات در زمان كار از راه دور خط مشی برای حفاطت محاسبه و ارتباط راه دور ايجاد وپياده سازی خط مشی برای كار از راه دور محاسبه سيار و کار از راه دور سيستمها هدف :اطمينان از اينكه امنيت جزء جدائی ناپذير از سيستم های اطالعاتی است و همچنين پيشگيري از فقدان ،تغيير يا سوء استفاده از اطالعات در سيستم هاي كاربردي شناسايي و تحليل نيازمندي هاي امنيتي نيازمندي هاي امنيتي سيستمها ي اطالعاتی تأييد داده ورودي كنترل پردازش داخلي يكپارچگي پيغام تأييد داده خروجي پردازش صحيح برنامه هاي كاربردي سيستمها هدف :حفاظت محرمانگي ،سنديت و يكپارچگي اطالعات با استفاده از رمزنگاري و اطمينان از اينكه پروژه هاي ITو فعاليت هاي پشتيباني در يك روش امن هدايت مي شوند. خط مشي استفاده از كنترل هاي رمزنگاري مديريت كليد كنترل هاي رمزنگاري كنترل نرم افزار عملياتي حفاظت از سيستم تست داده كنترل دسترسي به متن برنامه ها امنيت فايل هاي سيستم كاربردي حوزه هشتم – تهيه ،نگهداري و توسعه سيستمها هدف :حفظ و تداوم امنيت نرم افزار و اطالعات سيستم كاربردي رويه هاي كنترل تغيير مرور تكنيكي تغييرات سيستم عملياتي محدوديت هاي روي تغييرات بسته هاي نرم افزاري ذف امكان نشت اطالعات (به خارج از حوزة مجاز) توسعة نرم افزاري بوسيلة سفارش به بيرون امنيت فرآيندهاي توسعه و پشتيباني اطالعات هدف :اطمينان از اينكه حوادث و ضعف هاي امنيتي مرتبط با سيستم هاي اطالعاتي به نحوي كه به توان آنها را درزمان هاي قابل قبولي رفع كرد ،گزارش مي گردند .وهمچنين اطمينان از اينكه رويه هاي يكنواخت و مؤثر در مورد حوادث امنيتي اعمال مي گردند. گزارش حوادث امنيت اطالعات گزارش نقاط ضعف امنيت اطالعات گزارش حوادث و ضعف هاي امنيتي مسؤوليتها و رويه ها يادگيري و عبرت از حوادث گذشته مديريت حوادث امنيت اطالعات و جمع آوري شواهد راه هاي بهبود آنها حوزه دهم– طرح تداوم کسب و کار هدف :خنثی نمودن وقفه ها ی کسب وکار و حصول اطمينان برای ازسرگيری بموقع سيستم های اطالعاتی سانحه ديده درج امنيت اطالعات در فرآيند مديريت تداوم كسب و كار تداوم كسب و كار و ارزيابي مخاطرات و پياده سازي طرح هاي تداوم كسب و كار با در نظر گرفتن امنيت وجوه امنيتي مديريت تداوم كسب و چارچوب طرح تداوم كسب و كار ست ،نگهداري و ارزيابي مجدد طرح هاي تداوم كسب و كار حوزه يازدهم – مطابقت با قوانين هدف :اجتناب از هر نقض قانون و مقررات ، اطمينان از تطبيق سيستمها با استانداردها و سياست هاي امنيتي سازمان ،و افزايش اثربخشی وکاهش اختالل در فرايند مميزی شناسائی قوانين قابل اجرا حقوق دارائی فکری حفاظت از سوابق سازمانی حفاظت داده ها وحريم خصوصي اطالعات شخصی پيشگيری از استفاده نابجا از امکان پردازش اطالعات کنترل قواعدرمزنگاری در توافقنامه ،آيين نامه و.. انطباق باالزامات قانونی حوزه يازدهم – مطابقت با قوانين انطباق با خط مشی واستانداردهای برای اطمينان مديران بررسی و بروز نگهداری انطباق فنی کنترل های مميزی سيستم های اطالعاتی حفاظت از ابزارهای مميزی سيستم های اطالعاتی انطباق با خط مشی ها و انطباق فنی بازرسی مميزی سيستم های اطالعاتی طرح پشتيبانی از حوادث اج¶راي ط¶رح ام¶نيت ش¶بکه و اطالع¶ات ( ) ISMSدر ي¶ک س¶ازمان م¶وجب ايج¶اد ح¶داکثري ام¶نيت در س¶اختار ش¶بکه و اطالع¶ات س¶ازمان خواه¶د ش¶د . ام¶ا ب¶ا گذش¶ت زم¶ان ،روش ه¶اي قبلي از جمل¶ه نف¶وذ ب¶ه ش¶بکه ه¶ا تغي¶ير خواهن¶د ي¶افت و سيس¶تم امني¶تي ش¶بکه و اطالع¶ات س¶ازمان ب¶ر اس¶اس تنظيم¶ات قبلي ق¶ادر ب¶ه ح¶ل مش¶کالت جدي¶د نخواهن¶د ب¶ود .از ط¶رفي ديگ¶ر ه¶ر روزه آس¶يب پ¶ذيري ه¶اي جدي¶دي ش¶بکه و اطالع¶ات س¶ازمان را تهدي¶د مي نماين¶د و در ص¶ورتي ک¶ه از راه ح¶ل ه¶اي جدي¶د اس¶تفاده ننم¶ائيم ، سيس¶تم ش¶بکه و اطالع¶ات س¶ازمان بس¶يار آس¶يب پ¶ذير خواه¶د ش¶د و عمال فع¶اليت ه¶اي چندس¶اله و هزين¶ه ه¶اي انج¶ام ش¶ده در زمين¶ه ام¶نيت ش¶بکه و اطالعات بي فايده خواهد شد. براي ح¶ل مش¶کالت ذک¶ر ش¶ده در سيس¶تم م¶ديريت ام¶نيت اطالع¶ات و ش¶بکه ، تش¶کيالت وط¶رح ه¶ای پش¶تيباني ام¶نيت ،پيش بي¶ني ش¶ده اس¶ت .مهم¶ترين اين روش ها ،طرح پشتيباني از حوادث مي باشد . طرح پشتيبانی از حوادث دسته بندی حوادث ح¶وادث امني¶تي ب¶ه هم¶راه عوام¶ل آنه¶ا دس¶ته بن¶دی مي‌گ¶ردد .ب¶رخي از اين دسته بندي ها عبارتند از : کدهاي مخرب دسترسي غير مجاز ممانعت از سرويس ..............  پاسخ به حوادث پاس¶خ گ¶وئي ب¶ه ح¶وادث يکي از ض¶روري ت¶رين کاره¶ا مي باش¶د چ¶را ک¶ه تک¶رار حمالت مي توان¶د منج¶ر ب¶ه اف¶زايش دامن¶ه خس¶ارات و زي¶ان ه¶ايي ب¶ر س¶رمايه ه¶اي س¶ازماني گ¶ردد .در اين قس¶مت ض¶رورت‌هاي پاس¶خ ب¶ه حوادث وفوايد آن ذکر مي گردد. طرح پشتيبانی از حوادث ارائه سياست ها و رويه هاي پشتيباني حوادث ساختار تيم پشتيباني حوادث معرفي و انتخاب انواع تيم هاي پشتيباني حوادث oتيم پاسخ به حوادث مرکزي oتيم پاسخ به حوادث توزيع شده oتيم اطالع رساني معرفي و انتخاب پرسنل وظايف تيم پشتيباني حوادث ارزيابي آسيب پذيري ها تشخيص تهاجم آموزش اطالع رساني ......  متدولوژی پشتيبانی از حوادث فاز های مختلف اين متدولوژی عبارتند از : آماده سازی تشخيص و تحليل محدود سازی ،ريشه کنی و ترميم فعاليت های بعد از ترميم فعاليت های بعد از ترميم تشخيص محدود سازی ريشه کنی و ترميم و تحليل آماده سازی انتخاب کنترل هاي مناسب استاندارد ISO 27001 براي سازمان با توجه به خروجي فاز هاي قبلي ،آندسته از کنترل هاي استاندارد ISO 27001که براي سازمان مناسب مي باشند انتخاب مي گردد. سپس ارتباط اين کنترل ها و راهکار هاي ارائه شده در فاز قبلي مشخص مي گردد بعبارتی راهکار هاي الزم براي پياده سازي کنترل هاي انتخابي ارائه ميگردد . اجزاء و ساختار تشکيالت امنيت اطالعات سازمان اجزاء و ساختار تشکيالت امنيت اطالعات سازمان متشکل از سه جزء اصلي به شرح زير مي باشد: در سطح سياستگذاري :کميته راهبري امنيت فضاي تبادل اطالعات دستگاه در سطح مديريت اجرائي :مدير امنيت فضاي تبادل اطالعات دستگاه در سطح فني :واحد پشتيباني امنيت فضاي تبادل اطالعات دستگاه اجزاء و ساختار تشکيالت امنيت اطالعات سازمان اجزاء و ساختار تشکيالت امنيت اطالعات سازمان ‏ شرح وظايف کميته راهبري امنيت بررسي ،تغيير و تصويب سياستهاي امنيتي پيگيري اجراي سياستهاي امنيتي از مدير امنيت برنامههاي امنيت سازمان شامل: ‌ طرحها و ‌ تائيد oطرح تحليل مخاطرات امنيتي oطرح امنيت شبکه oطرح مقابله با حوادث و ترميم خرابيها oبرنامه آگاهي‌رساني امنيتي کاربران oبرنامه آموزش های امنيتی اجزاء و ساختار تشکيالت امنيت اطالعات سازمان ‏ شرح وظايف مدير امنيت: تهيه پيش نويس سياستهاي امنيتي و ارائه به کميته راهبري امنيت برنامهه¶اي ام¶نيت س¶ازمان ب¶ا کم¶ک واح¶د مش¶اوره و ‌ تهي¶ه طرح‌ه¶ا و طراحي نظارت بر اجراي کامل سياستهاي امنيتي مديريت ونظارت بر واحد پشتيباني امنيت سازمان تشخيص ضرورت و پيشنهاد بازنگري و اصالح سياستهاي امنيتي تهيه پيش نويس تغييرات سياستهاي امنيتي اجزاء و ساختار تشکيالت امنيت اطالعات سازمان شرح وظايف پشتيباني حوادث امنيتي : مرور روزان¶ه Logفايرواله¶¶ا ،مس¶¶يريابها ،تجه¶¶يزات گ¶ذرگاههاي ارتب¶اط ب¶¶ا س¶¶اير ش¶بکه‌ها و ههاي ش¶بکه داخلي¶و اين¶ترنت دس¶تگا¶ه ،بمنظ¶ور تش¶خيص ا¶ق¶داما¶ت خرابکاران¶ه و س¶رويسدهند ¶‌ ‌ تهاجم. مرور تردده¶اي انج¶ام ش¶ده ب¶ه س¶ايت و Data Centreو گ¶زارش اق¶دامات انج¶ام ش¶ده توس¶ط کارشناسان و مديران سرويسها. مرور روزان¶ه گ¶زارش سيس¶تم تش¶خيص ته¶اجم ب¶ه منظ¶ور تش¶خيص تهاجم‌ه¶اي احتمالي. انجام اقدامات الزم بمنظور کنترل دامنه تهاجم جديد. ترميم خرابيهاي ناشي از تهاجم جديد. مستندس¶ازي و ارائ¶ه گ¶زارش ته¶اجم تش¶خيص داده ش¶ده ب¶ه تيم هم¶اهنگي و آگاهي‌رس¶اني امنيتي. اعمال تغييرات الزم در سيستم امنيت شبکه ،بمنظور مقابله با تهاجم جديد. مطالع¶ه و بررس¶ي تهاجم‌ه¶اي جدي¶د و اعم¶ال تنظيم¶ات الزم در سيس¶تم تش¶خيص ته¶اجم و س¶اير بخشهاي سيستم امنيت شبکه. ارائ¶ه پيش¶نهاد در خص¶وص تغي¶يرات الزم در سيس¶تم امني¶تي ش¶بکه بمنظ¶ور مقابل¶ه ب¶ا تهدي¶دهاي جديد ،به مدير امنيت شبکه. آگاهي‌رس¶اني ب¶ه ک¶اربران ش¶بکه در خص¶وص روش¶هاي جدي¶د نف¶وذ ب¶ه سيس¶تم‌ها و روش¶هاي مقا¶بل¶ه ب¶ا آن¶ ،آ¶س¶يب‌پذير¶يهاي جدي¶د ارائ¶ه¶ ش¶ده ب¶راي¶ سيس¶تم‌هاي ¶مختل¶ف و روش¶هاي ب¶ر ط¶رف نمودن آنها. اجزاء و ساختار تشکيالت امنيت اطالعات سازمان بررس¶ي و در ص¶ورت ني¶از ،انتخ¶اب ،خري¶د و تس¶ت ن¶رم اف¶زار ض¶دويروس مناس¶ب دورهاي ‌ ي ش¶بکه دس¶تگاه ب¶ه ص¶ورت¶ ي اي¶س¶تگاهها¶ي ک¶اري و¶س¶رويس د¶هن¶ده‌ها ¶ ب¶را ¶ ( هر سال يکبار) نرماف¶زار ض¶دويروس روي ايس¶تگاههاي ک¶اري م¶ديران و ارائ¶ه اطالع¶ات الزم نص¶ب ‌ نرمافزار. به ساير کاربران ،جهت نصب ‌ دهندههاي شبکه دستگاه. ‌ نرمافزار ضدويروس روي کليه سرويس‌ نصب ‌ نرماف¶زار ض¶دويروس ايس¶تگاههاي ک¶اري و تهي¶ه راهنم¶اي نص¶ب و Updateنم¶ودن ‌ ه ک¶¶اربر¶ان¶ش¶¶بکه از¶طري¶¶ق واح¶¶د ¶هم¶¶اهن¶گي و ¶ندهها و ارائ¶¶ه آن ب¶¶ ¶ س¶¶رويسده ‌ ‌ آگاهيرساني امنيتي. ‌ نرمافزارهاي ضد ويروس. مرور روزانه Logو گزارشات ‌ مطالعه و بررسي ويروسهاي جديد و روشهاي مقابله با آن. آگاهيرس¶اني امني¶تي ،جهت ‌ ارائ¶ه روش¶هاي مقابل¶ه ب¶ا ويروس¶ها ب¶ه تيم هم¶اهنگي و اعالم به کاربران و انجام اقدامات الزم. انج¶ام اق¶دامات پيش¶گيرانه الزم بمنظ¶ور کن¶ترل دامن¶ه ت¶اثير ويروس¶هاي جديد. ترميم خرابيهاي ناشي از ويروسهاي جديد. مستندس¶ازي و ارائ¶ه گزارش¶هاي آم¶اري از ويروس¶ها ،مقابل¶ه ب¶ا آنه¶ا و خرابيه¶اي ناشي ا¶ز ويرو¶سها در شبک¶ه دستگا¶ه ،به¶تيم هما¶هنگي و آ¶گاهي‌رساني امنيتي. اجزاء و ساختار تشکيالت امنيت اطالعات سازمان انتخ¶اب ابزاره¶اي مناس¶ب جهت مح¶افظت ف¶يزيکي از تجه¶يزات و س¶رمايه‌هاي شبکه در مقابل حوادث فيزيکي و دسترسي‌هاي غيرمجاز . مرور روزان¶ه روي¶دادنامه‌هاي دسترس¶ي ف¶يزيکي ب¶ه س¶رمايه‌هاي ش¶بکه ،ب¶ويژه در سايت. سرکش¶ي دوره‌اي ب¶ه س¶ايت ،تجه¶يزات مس¶تقر در طبق¶ات س¶اختمانها و مس¶ير عبور کابلها به منظور اطمينان از تامين امنيت فيزيکي آنها. مطالعه و بررسي حوادث فيزيکي جديد و روشهاي مقابله با آن. ارائ¶ه روش¶ها ب¶ه تيم هم¶اهنگي و آگاهي‌رس¶اني ام¶نيت جهت اعالم ب¶ه ک¶اربران و انجام اقدامات الزم. انجام اقدامات الزم بمنظور کنترل دامنه حوادث فيزيکي. ترميم خرابيهاي ناشي از حوادث فيزيکي. مستندس¶¶ازي و ارائ¶¶ه گزارش¶¶هاي آم¶¶اري از ح¶¶وادث ف¶¶يزيکي ،مقابل¶¶ه ب¶¶ا اين حوادث و خرابيهاي ناشي از آنها به تيم هماهنگي و آگاهي‌رساني امنيتي. ارائ¶ه پيش¶نهاد در خص¶وص Updateنم¶ودن تجه¶يزات و روش¶هاي ت¶امين ام¶نيت فيزيکي به مدير امنيت شبکه. ارائ¶¶ه اطالع¶¶ات الزم جهت آگ¶¶اهي رس¶¶اني ب¶¶ه ک¶¶اربران در خص¶¶وص ح¶¶وادث فيزيکي ،توسط تيم هماهنگي و آگاهي‌رساني امنيتي. اجزاء و ساختار تشکيالت امنيت اطالعات سازمان ‏ شرح وظايف نظارت و بازرسي ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ مانيتورينگ ترافيک شبکه ( در حيطه مانيتورينگ مجاز ) بازرسي دوره اي از ايستگاههاي کاري ،سرويس‌دهنده‌ها ،تجهيزات شبکه و ساير سخت‌ افزارهاي موجود شبکه ،به منظور اطمينان از رعايت سياستهاي امنيتي مربوطه. بازرسي دوره اي از سخت‌ افزارهاي خريداري شده و تطبيق پروسه "سفارش ،خريد، تست ،نصب و پيکربندي سخت‌ افزارهاي شبکه دستگاه" با سياستهاي مربوطه. بازرسي دوره اي از نرم‌ افزارهاي موجود شبکه به منظور اطمينان از رعايت سياستهاي امنيتي مربوطه. بازرسي دوره اي از نرم‌ افزارهاي خريداري شده و تطبيق پروسه "سفارش ،خريد ،تست، نصب و پيکربندي نرم‌ افزارهاي شبکه دستگاه" با سياستهاي مربوطه. بازرسي دوره اي از نحوه اتصال شبکه داخلي و شبکه دسترسي به اينترنت دستگاه ،با ساير شبکه‌ هاي مجاز ،بر اساس سياستهاي امنيتي مربوطه. بازرسي دوره اي از اطالعات شبکه دستگاه به منظور اطمينان از رعايت سياستهاي امنيتي مربوطه. بازرسي دوره اي از کاربران شبکه دستگاه به منظور اطمينان از آگاهي کاربران از حقوق و مسئوليتهاي خود و رعايت سياستهاي امنيتي مرتبط با خود. بازرسي دوره اي از روند تهيه اطالعات پشتيبان. بازرسي دوره اي از روند تشخيص و مقابله با حوادث امنيتي در شبکه دستگاه. بازرسي دوره اي از روند تشخيص و مقابله با ويروس در شبکه دستگاه. اجزاء و ساختار تشکيالت امنيت اطالعات سازمان بازرسي دوره اي از روند تشخيص و مقابله با ويروس در شبکه دستگاه بازرسي دوره اي از روند تشخيص و مقابله با حوادث فيزيکي در شبکه دستگاه بازرسي دوره اي از روند نگهداري سيستم امنيتي شبکه در شبکه دستگاه بازرسي دوره اي از روند مديريت تغييرات در شبکه دستگاه بازرسي دوره اي از روند آگاهي‌رساني امنيتي به کاربران شبکه دستگاه بازرسي دوره اي از روند آموزش پرسنل واحد پشتيباني امنيت شبکه دستگاه بازرسي دوره اي از روند واگذاري فعاليت‌ها به پيمانکاران خارج از دستگاه اجزاء و ساختار تشکيالت امنيت اطالعات سازمان شرح وظايف مديريت تغييرات ‏ ‏ ‏ ‏ ‏ ‏ ‏ نرمافزارها ،لينکهاي ارتباطي، بررسي درخواست خريد ،ايجاد يا تغيير سخت‌افزارها‌ ، سيستمعاملها و سرويسهاي شبکه از ديدگاه امنيت شبکه ،آسيب‌پذيريهاي سيستم يا سرويس ‌ مورد نظر ،مشکالت امنيتي ناشي از بکارگيري آن بر ساير بخشهاي شبکه و نهايتا تصميم‌گيري در خصوص تائيد يا رد درخواست. بررسي آسيب‌پذيري سخت‌افزار ،نرم‌افزار کاربردي ،سيستم عامل ،خطوط ارتباطي و سرويسها و امنيت شبکه. آگاهي رساني به طراحان شبکه و امنيت شبکه در خصوص آسيب‌پذيري فوق ،بمنظور لحاظ ‌ نمودن در طراحي. ارائه گزارش بررسي‌ها به تيم هماهنگي و آگاهي‌رساني امنيت شبکه. بررسي موارد مربوط به جابجائي کاربران شبکه و پرسنل تشکيالت امنيت شبکه بمنظور تغيير سرمايههاي شبکه. ‌ در دسترسي و حدود اختيارات آنها در دسترسي به دهندههاي شبکه، ‌ سرويس ‌ ايمنسازي سيستم عاملها، ‌ بررسي نيازمنديهاي امنيتي و روشهاي نرم افزارها ،تجهيزات شبکه و امنيت شبکه جديد که بکارگيري آنها در شبکه، خطوط ارتباطي‌ ، مورد تائيد قرار گرفته است. ارائه دستورالعمل‌هاي ايمن‌سازي و پيکربندي امن براي هر يک از موارد فوق اجزاء و ساختار تشکيالت امنيت اطالعات سازمان شرح وظايف نگهداري امنيت بررسي وضعيت عملکرد سيستم امنيتي شبکه ،شامل: oعملکرد صحيح فايروالها. oعملکرد صحيح سيستم تشخيص تهاجم. oعملکرد صحيح سيستم ثبت وقايع. oعملکرد صحيح سيستم تهيه نسخه پشتيبان. ارائه گزارشات دوره ای در خصوص عملکرد سيستم امنيتي ارائه گزارشات آماري از وضعيت سيستم امنيتي شبکه. رفع اشکاالت تشخيص داده شده در عملکرد سيستم امنيتي چرخه استمرار پياده سازی ISMS برنامه PLAN استقرار ISMSشامل تعيين خط مشي ها ،اهداف، فرايندها و روالها به منظور مديريت مخاطرات در راستاي اهداف سازمان است. در اين مرحله ،بايد سرمايه اوليه راه اندازي ،ISMS روشهاي مستند سازي ،مديريت مخاطرات وروشهاي اختصاص منابع مشخص شود .بايد مطمئن شد كه“ محتوا و محدوده ISMSبطور دقيق و مناسب مشخص شده است“. فعاليتهاي مورد نياز در اين مرحله عبارت‌اند از: -1تعريف محدوده ()Scope - 2تعريف خط مشي ISMS - 3تعيين تهديدات - 4ارزيابي تهديدات - 5انتخاب كنترل‌هاي مناسب خط مشي برنامه اقدام اجرا بررس ي بهبود مستمر چرخه استمرار پياده سازی ISMS اجرا ‏Do در اين مرحله كليه كنترل‌ها‌بايدعملياتي شوند رويه‌هايي براي تشخيص سريع و پاسخگويي به حوادث الزم مي باشد. آگاه نمودن كليه كارمندان و افراد سازمان نسبت به امنيت در سازمان آموزشهاي الزم جهت عملكرد مناسب براي برخورد با ريسك و تهديد خالصه اي از فعاليتهاي اين مرحله عبارت است از: _ فرموله كردن طرح برخورد با مخاطرات _ اجراي طرح برخورد با مخاطرات _ پياده سازي كنترل‌هاي امنيتي انتخاب شده _ اجراي برنامه هاي آموزش و آگاهي‌رساني _ مديريت منابع و فعاليتها چرخه استمرار پياده سازی ISMS بررسی Check هدف اين مرحله اطمينان ازاجراي بموقع كنترل‌هاي امنيتي و برآورده شدن اهداف امنيت اطالعات است. ارزيابي ميزان كارايي و مؤثر بودن ISMS اجراي روالهاي ارزيابي و مرور فرايندها و خط مشي ها انجام بازرسيهاي دوره‌اي درون سازماني و برون سازماني فعاليتهاي كنترلي متنوع بازرسيهاي داخلي ISMSومديريت بازبيني از مراحل پياده سازي امنيت نتايج حاصل از بازبيني سيستم‌هاي تشخيص نفوذ،واقعه نگاري ،دسترسيهاي غيرمجازبه شبكه و عبور از سيستم‌هاي امنيتي ،جهت بهبود عملكرد سيستم امنيتي شبكه ،استفاده و سپس در سياستهاي امنيتي شبكه چرخه استمرار پياده سازی ISMS اقدام ACT اقدامات اصالحي در جهت بهبود ISMSبراساس نتايج مرحله ارزيابي اين اقدامات در دو مقوله طبقه بندي ميگردد. - 1بر اساس مرحله خاصي از زمان :در زمان تعامل فناوري با اطالعات ،عكس العمل الزم در برابر يك مشكل امنيتي ميتواند از نوع پيشگيرانه (كنشي) يا اصالحي (واكنشي) باشد. -2بر اساس سطوح پياده سازي نظامهاي امنيتي: فناوري امنيت اطالعات،از نوع واكنشي ويااز نوع كنشي را مي توان در سه سطح‌ ،شبكه‌ ،ميزبان ،برنامه هاي كاربردي‌ ،پياده‌سازي نمود. ( ) Scope در اين مرحله که پس از اتمام کار صورت مي گيرد با توجه به چک ليست ها و مستندات مربوط به سرمميزي استاندارد ISO , 27001توسط شخص يا تيم مميز کننده ،کليه فعاليت هاي انجام گرفته در پروژه بازبيني و بررسي مي گردند تا در صورتيکه انحرافي نسبت به اهداف استاندارد وجود دارد ، سريعا برطرف گردد . پس از پايان اين مرحله و بعد از برطرف کردن نقاط ضعف موجود ،سازمان آماده دريافت گواهينامه بين‌المللي استاندارد ISO 27001مي باشد . صدور گواهينامه بين‌المللي استانداردISO 27001 در پاي¶ان پ¶روژه و پس از اينک¶ه تش¶خيص داده ش¶د ک¶ه س¶ازمان ¶آم¶¶اد¶ه د¶ري¶افت ¶گو¶ا¶هينام¶ه ¶مي ¶ب¶اش¶د¶و در¶¶ص¶ور¶ت ت¶م¶اي¶ل م¶د¶يريت ز تصديق ¶معتبر¶ (Certification Body - ک مر¶ک ¶ س¶ازم¶ان¶ ¶¶ ،ا¶ز ¶ي ¶ )CBبراي صدور گواهينامه دعو¶ت بعم¶ل مي آيد ¶. مزاياي دريافت گواهينامه افزايش اعتبار سازمان تضمين پاسخگويي تسريع بهبود فرايند ها تضمين تعهد مديريت تمايل يافتن مشتريان ايجاد انگيزه در كاركنان گواهينامه ‏ISMS دريافت گواهينامه گواهينامه ‏ISMS قرارداد مشاوره برآوردمطالعات اوليه مميزي پيگيري گواهينامه مميزي اوليه اوليه پياده سازي دوره اي Certification Body مميز شركت مشاور ها آموزش وآگاه سازي در سطوح مختلف با سپاس وتشکر مهديه کشميری ‏kashmiri@um.ac.ir

83,000 تومان