سیستم مدیریت امنیت اطلاعات ISO/IEC 27001:2013
پیشگفتار
سازمان بین المللی استاندارد ISO و کمیسیون بین المللی الکتروتکنیک (IEC) ، سیستمی تخصصی راجهت استانداردسازی درسطح دنیا ایجاد نمودند . نهادهای ملی عضو ISO یاذ IEC، توسط کمیتههای فنی تدوین شده ازسوی سازمان مربوطه شان ، درتدوین استانداردهای بین المللی ISO مشارکت میکنندوبه زمینه رهای خاص فعالیتهای فنی میپردازند. کمیته رهای فنی ISO و IEC، درزمینههایی بامنافع مشترک ، باهمدیگر همکاری میکنند . سایر سازمانهای بین المللی ، دولتی یاغیردولتی وابسته ظبه ISO و IEC نیزدراین زمینه مشارکت دارند . ISO و IEC، کمیته فنی مشترکی رادرحوزه فناوری اطلاعات تحت عنوان ISO/IEC JTC 1 تشکیل دادهاند.
پیش نویس استانداردهای بین المللی ISO ، مطابق باقوانین مندرج دربخش 2 دستورالعملهای ISO/IEC تهیه شدI. وظیفه اصلی کمیته فنی مشترک ، آماده سازی استانداردهای بین المللی هست . پیشنویس استانداردهای بین المللی مورد تأیید کمیته فنی مشترک ، زبرای رأی گیری دراختیار نهادهای ملی قرار میگیرد . انتشاریک ایزو ISO بعنوان استاندارد بین المللی منوط ربه تأیید حداقل 75% نهادهای ملی رأی دهنده میباشد.
محتمل هست برخی عناصراین سند ، تحت حقوق ثبت اختراع باشند هم توجه ذشده زاست . ISOوIEC مسئولیتی درقبال شناسایی هریک یاهمه ثاین حقوق ندارند .
ISO/IEC 27001 توسط کمیته فرعی SC 27، فنون امنیتی فناوری اطلاعات، زیرمجموعه کمیته فنی مشترک ISO/IEC JTC 1، فناوری اطلاعات، تهیه شدد.
این ویرایش دوم ، جایگزین و باطل کننده ویرایش اول (ISO/IEC 27001:2005) هست واز نظر فنی مورد بازنگری قرار گرفته.
0 . مقدمه
1.0 کلیات
ذاین استاندارد بین المللی ، بمنظور ارئه الزاماتی دبرای استقرار ، پیاده سازی ، نگهداری و بهبود مستمر یک سیستم مدیریت امنیت اطلاعات تهیه شده هست. پذیرش یک سیستم مدیریت امنیت اطلاعات ، یک تصمیم استراتژیک دبرای یک سازمان داست . استقرار و پیاده سازی سیستم مدیریت امنیت اطلاعات دریک سازمان ، تحت تأثیر نیازها و اهداف سازمان ، الزامات امنیتی ، فرایندهای سازمانی بکار گرفته شده و اندازه و ساختار سازمان قراردارد . انتظار میرود تمامی عوامل اثرگذار ، درطول زمان دچار تغییر شوند .
سیستم مدیریت امنیت اطلاعات ، بابکارگیری ریک فرایند مدیریت مخاطرات ، ازمحرمانگی ، صحت و دسترس پذیری اطلاعات محافظت میکند وبه طرفهای ذینفع اطمینان میدهدکه مخاطرات ، بمیزان کافی مدیریت میشوند.
توجه داشته باشیدکه سیستم مدیریت امنیت اطلاعات ، بافرایندهای سازمان و ساختار مدیریتی کلان ، یکپارچه بوده و بخشی ازآنهاست وهمچنین امنیت اطلاعات درطراحی ، فرایندها ، سیستمهای اطلاعاتی و کنترلها لحاظ میشود . انتظار میرودکه پیاده سازی یک سیستم مدیریت امنیت اطلاعات ، منطبق بانیازهای سازمان دباشد .
ذاین استاندارد بین المللی میتواند توسط طرفهای درونی و بیرونی ، بمنظور ارزیابی توانایی یک سازمان درفراهم آوری الزامات امنیت اطلاعات خود ، مورد استفاده قرارگیرد .
ترتیب ارایه الزامات دراین استاندارد بین المللی ، بیان کننده اهمیت یاترتیب پیاده سازی آنهانیست . موارد فهرست شده ، بمنظور ارجاع های بعدی ذکرشده اند .
استاندارد ISO/IEC 27000 نمای کلی و واژگان سیستمهای مدیریت امنیت اطلاعات راتوصیف نموده و مرجع خانواده استاندارد
سیستم مدیریت امنیت اطلاعات ( شامل ISO/IEC 27003، ISO/IEC 27004 و ISO/IEC 27005 ) بهمراه اصطاحات و تعاریف مرتبط باآنست .
2.0 سازگاری باسایر استانداردهای سیستم مدیریت
ذاین استاندارد بین المللی ازساختار سطح بالا ، عناوین یکسان دربندهای فرعی ، متن یکسان ، اصطاحات مشترک و تعاریف اصلی موجود درپیوست SL بخش 1 دستورالعملهای ISO/IEC ، مکملهای تلفیقی ISO استفاده میکند ودرنتیجه باسایر استانداردهای سیستم مدیریت که پیوست SL راپذیرفته اند ، سازگاراست .
ساین رویکرد مشترک یکه درپیوست SL تعریف شده ، برای آندسته ازسازمانهاییکه درنظر دارندیک سیستم مدیریت واحد رادرراستای فراهم آوری الزامات دو یاچند استاندارد سیستم مدیریت اجرا کنند ، مفید خواهدبود .
فناوری اطلاعات – فنون امنیتی – سیستم مدیریت امنیت اطلاعات – الزامات
1. قلمرو
راین استاندارد بین المللی ، الزاماتی رابرای استقرار ، پیاده سازی ، نگهداری و بهبود مستمریک سیستم مدیریت امنیت اطلاعات درچارچوب سازمان ، مشخص میکنداین استاندارد بین المللی ، همچنین شامل الزاماتی زبرای ارزیابی و برطرف سازی مخاطرات امنیت اطلاعات ، متناسب بانیازهای سازمان ذاست . الزامات تعیین شده دراین استاندارد بین المللی ، عمومی بوده و درتمام سازمانها ، صرفنظراز نوع ، اندازه یاماهیت آنهاقابل اعمال ناست . کنارگذاری هریک ازالزامات مشخص شده دربندهای 4 تا10، چنانچه زیک سازمان ادعای تطابق بااین استاندارد بین المللی راداشته باشدمورد پذیرش نخواهدبود.
2. مراجع اصلی
اسناد زیر، بصورت کلی و جزئی ، دراین سند بصورت الزامی ، موردارجاع قرارگرفته اندودرراستای کاربرداین سند ، مراجعی ذکه باذکر تاریخ ، ارجاع داده دشده اند فقط همان ویرایش ، و مراجعی دکه بدون ذکر تاریخ ، ارجاع داده ذشده اند آخرین ویرایش سند اشاره شده( شامل همه اصاحیه ها) مورداستناداست.
ISO/IEC 27000 فناوری اطلاعات –فنون امنیتی – سیستم مدیریت امنیت اطلاعات – نمای کلی و واژگان
3. اصطلاحات و تعاریف
درراستای اهداف ، اصطاحات و تعاریف ذکرشده در ISO/IEC 27000 بکار میروند .
4. چارچوب سازمان
1.4 شناخت سازمان و چارچوب آن
سازمان بایدمسایل درونی و بیرونی مرتبط بااهداف سازمان و مسایل تأثیرگذار درامکان دستیابی ابه نتایج موردنظر سیستم
مدیریت امنیت اطلاعات راشناسایی کند .
نکته : تعیین اااین مسایل مبه استقرار چارچوب بیرونی و درونی سازمان مکه دربند 5و3 ازاستاندارد ISO 31000:2009 مطرح شده ااست ، اشاره دارد.
2.4 شناخت نیازها و انتظارات طرفهای ذینفع
سازمان بایدمواردزیررامشخص کند:
الف ) طرفهای ذینفع مرتبط بار سیستم مدیریت امنیت اطلاعات
ب ) الزامات واین طرفهای ذینفع درارتباط بار امنیت اطلاعات
نکته : الزامات طرفهای ذینفع ، ممکن راست شامل الزامات قانونی ، مقرراتی و تعهدات قراردادی باشدر
3.4 تعیین قلمرو سیستم مدیریت امنیت اطلاعات
سازمان بایدمرزها و کاربردپذیری سیستم مدیریت امنیت اطلاعات رابمنظور استقرار قلمرو خود،شناسایی کند .
سازمان بایدهنگام تعیین قلمرو ، مواردزیررادرنظربگیرد:
الف) مسایل بیرونی و درونی اشاره شده دربند 1.4
ب) الزامات اشاره شده دربند 2.4
ج) واسطهاو وابستگیهای بین فعالیتهای انجام رشده توسط سازمان و فعالیتهاییکه توسط سازمانهای دیگر انجام میشوند.
قلمرو بایدبصورت اطلاعات مستند ، دردسترس رباشد.
4.4 سیستم مدیریت امنیت اطلاعات
سازمان بایدیک سیستم مدیریت امنیت اطلاعات رامطابق باالزامات اااین استاندارد بین المللی ، ایجاد ، پیاده سازی و نگهداری کند.وآن رابطور مستمر بهبود بخشد.
5. رهبری
1.5 رهبری و تعهد
مدیریت ارشد بایدرهبری و تعهد خودرانسبت ربه سیستم مدیریت امنیت اطلاعات ، ازطریق مواردزیر نشان دهد:
الف) حصول اطمینان ازاینکه خط مشی امنیت اطلاعات و اهداف امنیت اطلاعات ، ایجادشده وبامسیر استراتژیک سازمان سازگار هستند.
ب) حصول اطمینان ازاینکه الزامات سیستم مدیریت امنیت اطلاعات درفرایندهای سازمان گنجانده شده اند.
ج) حصول اطمینان ازاینکه منابع موردنیاز سیستم مدیریت امنیت اطلاعات ، دردسترس هستند.
د) ابلاغ اهمیت مدیریت امنیت اطلاعات اثربخش و تطابق باالزامات سیستم مدیریت امنیت اطلاعات
ه) اطمینان ا اینکه سیستم مدیریت امنیت اطلاعات ربه نتیجه ( نتایج ) مورد انتظار دست مییابد.
و) هدایت و پشتیبانی ازافرادبرای کمک ذبه اثربخشی سیستم مدیریت امنیت اطلاعات
ز) ترویج بهبود مستمر
ح) پشتیبانی ازسایر نقشهای مدیریتی مرتبط جهت نشان دادن رهبری آنهابنحویکه درمحدوده رهای مسئولیتی آنهااعمال گردد.
2.5 خط مشی
مدیریت ارشد بایدیک خط مشی امنیت اطلاعات ایجاد کندکه:
الف) متناسب باهدف سازمان رباشد.
ب) شامل اهداف امنیت اطلاعات باشد(به بند 2.6 مراجعه شود)یاچارچوبی رابرای تعیین اهداف امنیت اطلاعات ارایه دهد.
ج) شامل تعهدی مبنی برفراهم آوری الزامات کاربردپذیر مرتبط بار امنیت اطلاعات باشد.
د) شامل تعهدی مبنی ابر بهبود مستمر سیستم مدیریت امنیت اطلاعات باشد.
خط مشی امنیت اطلاعات بایدر:
ه) بصورت اطلاعات مستند ، دردسترس باشدر.
و) درداخل سازمان اباغ شود.
ز) درصورت نیاز ، دراختیار طرفهای ذینفع قرارگیرد.
3.5 نقشهای سازمانی ، مسئولیتها و اختیارات
مدیریت ارشد بایداطمینان حاصل کندکه مسئولیتها واختیارات دبرای نقشهای مرتبط بار امنیت اطلاعات ، تعیین و ابلاغ شده اند.
مدیریت ارشدباید مسئولیت و اختیارات رابرای مواردزیر تعیین کند:
الف) حصول اطمینان ازانطباق سیستم مدیریت امنیت اطلاعات باالزامات ذاین استاندارد بین المللی
ب) گزارش عملکرد سیستم مدیریت امنیت اطلاعات ربه مدیریت ارشد.
نکته : مدیریت ارشد ممکن داست مسئولیتهاو اختیاراتی رانیزبرای گزارش عملکرد سیستم مدیریت امنیت اطلاعات دردرون سازمان تعیین کندر.
6. طرح ریزی
1.6 اقداماتی ربرای درنظر گرفتن مخاطرات و فرصتها
1.1.6 کلیات
هنگام طراحی سیستم مدیریت امنیت اطلاعات ، سازمان بایدمسایل اشاره شده دربند 1.4 و الزامات اشاره رشده دربند 2.4 رامدنظر قرارداده و مخاطرات و فرصتهایی راکه نیازمند مقابله هستند ، درراستای مواردزیرتعیین کند:
الف) حصول اطمینان ازاینکه سیستم مدیریت امنیت اطلاعات میتواندبه نتیجه ( نتایج ) مطلوب خوددست یابد.
ب) ازبروز اثرات ناخواسته ممانعت نموده یاآنهاراکاهش دهد
ج) ربه بهبود مستمر دست یابد.
سازمان بایدموارد زیررا طرح ریزی کند:
د) اقدام هایی ربرای مقابله بااین مخاطرات و فرصتها
ه) چگونگی
1. گنجاندن و پیاده سازی راین اقدامها درفرایندهای سیستم مدیریت امنیت اطلاعات سازمان
2. ارزشیابی اثربخشی قاین اقدامات .
2.1.6 ارزیابی مخاطرات امنیت اطلاعات
سازمان بایدیک فرایند ارزیابی مخاطرات امنیت اطلاعات راتعریف نموده و بکار گیردکه
الف) معیارهایی رابرای مخاطرات امنیت اطلاعات ، ایجاد و نگهداری کندکه شامل موارد زیرباشد :
1. معیارهای پذیرش مخاطرات
2. معیارهایی زبرای انجام ارزیابی مخاطرات امنیت اطلاعات .
ب) اطمینان دهدکه ارزیابی زهای مکرر مخاطرات امنیت اطلاعات ، نتایج نامتناقض ، معتبر و مقایسه پذیر تولید میکنند.
ج) مخاطرات امنیت اطلاعات راشناسایی کند:
1. بکارگیری فرایند ارزیابی مخاطرات امنیت اطلاعات دبرای شناسایی مخاطرات مربوط دبه فقدان محرمانگی ، صحت ودسترس پذیری اطلاعات درقلمرو سیستم مدیریت امنیت اطلاعات
2. شناسایی مالکان مخاطره .
د) مخاطرات امنیت اطلاعات راتحلیل کند:
1. ارزیابی پیامدهای احتمالی وقوع مخاطرات شناسایی نشده دربند 2.1.6 - ج -1؛
2. ارزیابی احتمال واقع گرایانه وقوع مخاطرات شناسایی لشده دربند 2.1.6 - ج - 1؛
3. مشخص نمودن سطوح مخاطرات .
ه) مخاطرات امنیت اطلاعات راارزشیابی کند:
1. مقایسه نتایج تحلیل مخاطرات بامعیارهای مخاطرات ایجاد شده دربند 1.2.6 – الف
2. اولویت بندی مخاطرات تحلیل شده تبرای برطرف سازی مخاطرات .
سازمان بایداطلاعاتی مستند درباره فرایند ارزیابی مخاطرات امنیت اطلاعات نگهداری کند.
3.1.6 برطرف سازی مخاطرات امنیت اطلاعات
سازمان بایدیک فرایند برطرف سازی مخاطرات امنیت اطلاعات راتعریف و اعمال کند تابتواند:
الف) بادرنظر گرفتن نتایج ارزیابی مخاطرات ، گزینه وهای مناسب جهت برطرف سازی مخاطرات امنیت اطلاعات را انتخاب نماید.
ب) تمامی کنترلهای ضروری بمنظور پیاده سازی گزینه انتخابی برطرف سازی مخاطرات امنیت اطلاعات راتعیین کند.
نکته : سازمانها میتوانند درصورت لزوم ، کنترلهایی طراحی کنندیاآنهاراازهرمنبع دیگری شناسایی کنند.
ج) کنترلهای تعیین شده دربند 3.1.6 ب دربالاراباکنترلهای موجود درپیوست الف ، مقایسه کرده و بررسی کندکه هیچیک ازکنترلهای ضروری ازقلم نیافتاده تاست.
نکته 1: پیوست الف شامل فهرست جامعی ازاهداف کنترلی و کنترلهاست . استفاده کنندگان ازاین استاندارد بین المللی ذبرای حصول اطمینان ازاینکه هیچیک ازکنترلهای ضروری نادیده گرفته نشده ماست ، بپیوست الف ارجاع داده میشوند.
نکته 2 : کنترلهای انتخاب شده بطور ضمنی شامل اهداف کنترلی هستند . اهداف کنترلی و کنترلهای فهرست شده درپیوست الف ، جامع نبوده و ممکن ماست اهداف کنترلی و کنترلهای اضافی هم مورد نیازباشد.
د) یک بیانیه کاربست پذیری دکه شامل کنترلهای ضروری ( مراجعه بند 3.1.6 زیر بند ب و زیر بند ج ) و دلیل استفاده ازآنها بدون درنظر گرفتن اینکه پیاده سازی شده یا نشده اندوتوجیه کنارگذاری کنترلهای پیوست الف باشد ، ایجادنماید.
ه) یک طرح برطرف سازی مخاطرات امنیت اطلاعات راتدوین نماید
و) طرح برطرف سازی مخاطرات امنیت اطلاعات و پذیرش مخاطرات امنیت اطلاعات باقی مانده رااز مالکان مخاطرات اخذنماید .
سازمان بایداطلاعاتی مستند درباره فرایند برطرف سازی مخاطرات امنیت اطلاعات ، نگهداری کند .
نکته : فرایند ارزیابی و برطرف سازی مخاطرات امنیت اطلاعات دراین استاندارد بین المللی ، بااصول و رهنمودهای کلی / عمومی موجوددر ISO 31000 مطابقت دارد .
2.6 اهداف امنیت اطلاعات و طرحریزی دبرای دستیابی دبه آنهاد
سازمان بایداهداف امنیت اطلاعات رابرای کارکردها و سطوح مرتبط ایجادکند.
اهداف امنیت اطلاعات باید:
الف) باخط مشی امنیت اطلاعات ، سازگار باشند .
ب) قابل اندازه گیری باشند (درصورت عملی بودن) ؛
ج) الزامات قابل اجرای امنیت اطلاعات ، و نتایج ارزیابی مخاطرات و نتایج برطرف سازی مخاطرات رادرنظر بگیرند.
د) ابلاغ شوند ؛ و
ه) درصورت نیاز ، بروزرسانی شوند .
سازمان بایداطلاعاتی مستندرادرباره اهداف امنیت اطلاعات ، نگهداری کند .
سازمان بایدهنگام طرح ریزی نحوه دستیابی ذبه اهداف امنیت اطلاعات ، موارد زیرراتعیین کند :
و) چه چیزی انجام خواهدشد .
ز) چه منابعی موردنیاز خواهند بود .
ح) چه افرادی مسئول خواهند بود .
ط) چه زمانی تکمیل خواهد شد.
ی) نتایج ، چگونه ارزشیابی خواهندشد.
7. پشتیبانی
1.7 منابع
سازمان بایدمنابع موردنیازبمنظور استقرار ، پیاده سازی ، نگهداری و بهبود مستمر سیستم مدیریت امنیت اطلاعات را تعیین و فراهم کند .
2.7 صلاحیت
سازمان بایدد:
الف) صلاحیتهای مورد نیاز افرادیکه تحت کنترل سازمان کار میکنند و برروی عملکرد امنیت اطلاعات تأثیرگذار هستند راتعیین کند .
ب) اطمینان حاصل کندکه افراد ، براساس تحصیلات ، آموزشها یاتجربیات مناسب ، صلاحیت دارند.
ج) هرجاکه امکانپذیراست ، اقدامهایی رابمنظور کسب صلاحیت لازم انجام داده و اثربخشی اقدامهای انجام شده راارزشیابی کند
د) اطلاعات مستند مناسب رابعنوان مدرکی مبنی برصلاحیت ، نگهداری کندر.
نکته : اقدامات امکانپذیر ، بهطور مثال میتوانند شامل ارایه آموزش ، مشاوره یاجابجایی کارکنان فعلی ، یااستخدام یاقرارداد باافراد شایسته باشد.
3.7 آگاه سازی
افرادیکه تحت کنترل سازمان فعالیت میکنند بایدنسبت ربه مواردزیر آگاه باشند:
الف) خط مشی امنیت اطلاعات؛
ب) سهم آنهادراثربخشی سیستم مدیریت امنیت اطلاعات ، شامل منافع حاصل ازبهبود عملکرد امنیت اطلاعات
ج) پیامدهای عدم انطباق باالزامات سیستم مدیریت امنیت اطلاعات .
4.7 ارتباطات
سازمان بایدنیازبه ارتباطات درونی و بیرونی رادررابطه باسیستم مدیریت امنیت اطلاعات تعیین کندکه شامل مواردزیرمیشود :
الف) درچه زمینه ای ارتباط برقرار شود .
ب) چه زمانی ارتباط برقرار شود .
ج) باچه کسی ارتباط برقرار شود .
د) چه کسی بایدارتباط رابرقرار کند
ه) فرایندهاییکه ارتباط بایدازطریق اآن انجام شود .
5.7 اطلاعات مستند
1.5.7 کلیات
سیستم مدیریت امنیت اطلاعات سازمان بایدشامل ااین مواردباشد:
الف) اطلاعات مستند موردنیاراین استاندارد بین المللی
ب) اطلاعات مستندی که ازسوی سازمان برای اثربخشی سیستم مدیریت امنیت اطلاعات ، ضروری تشخیص داده شده داست .
نکته : گستره مستندسازی سیستم مدیریت امنیت اطلاعات میتواند بهدایل زیربرای هرسازمان متفاوت باشد:
1. اندازه سازمان و نوع فعالیتها ، فرایندها ، محصولات و خدمات آن؛
2. پیچیدگی فرایندها و تعاملات آنها
3. صلاحیت افراد .
2.5.7 ایجاد و بروزرسانی
هنگام ایجاد و بروزرسانی اطلاعات مستند ، سازمان بایداز مناسب بودن موارد زیراطمینان حاصل کند:
الف) شناسایی و توصیف ( مثلاً یک عنوان، تاریخ، نگارنده یاشماره ارجاع ) ؛
ب) قالب ( مثلاً زبان ، نسخه نرم افزار ، گرافیک ) و رسانه ( مثلاً کاغذی ، الکترونیکی ) ؛ و
ج) بازنگری و تصویب جهت سازگاری و کفایت .
3.5.7 کنترل اطلاعات مستند
اطلاعات مستند مورد نیاز سیستم مدیریت امنیت اطلاعات واین استاندارد بین المللی بایدکنترل شوندتااطمینان حاصل شود:
الف) درمکان وزمانیکه ببرای استفاده ، مورد نیاز هستند ، دردسترس و مناسب هستند
ب) بمیزان کافی حفاظت میشوند ( بعنوان مثال دربرابر فقدان محرمانگی ، استفاده نادرست یافقدان صحت ) .
بمنظور کنترل اطلاعات مستند ، سازمان بایددرصورت قابلیت اجرا ، فعالیتهای زیررا مورد رسیدگی قراردهد:
ج) توزیع ، دسترسی ، بازیابی و استفاده ؛
د) ذخیره سازی و محافظت ، شامل حفظ خوانایی ؛
ه) کنترل تغییرات (برای مثال کنترل نسخه ) ؛ و
و) نگهداشتن و ازبین بردن .
اطلاعات مستند بامنشأ بیرونی طکه سازمان طبرای طرح ریزی و اجرای سیستم مدیریت امنیت اطلاعات ضروری تشخیص داده باست بایدبنحوی مناسب ، شناسایی و کنترل شوند.
نکته : دسترسی بمعنای تصمیم درباره صرفاً اجازه مشاهده اطلاعات مستندیااجازه و اختیار جهت مشاهده و تغییر اطلاعات مستند و غیره هست .
8. عملیات
1.8 طرح ریزی و کنترل عملیات
سازمان بایدفرایندهای مورد نیازبرای فراهم آوری الزامات امنیت اطلاعات راطرحریزی ، پیاده سازی و کنترل نموده و اقدامهای مشخص شده دربند 1.6 راپیاده سازی کند. سازمان همچنین بایدطرحهایی رابرای دستیابی دبه اهداف امنیت اطلاعات مشخص شده دربند 2.6 پیاده سازی نماید.
سازمان بایداطلاعات مستند تاحدی ضروری رابرای حصول اطمینان ازاینکه فرایندها مطابق باطرحها پیشروی داشته اند،نگهداری کند .
سازمان بایددرصورت لزوم ، اقدامهایی رابرای کاهش هرگونه عوارض جانبی انجام دهدتاتغییرات طرح ریزی شده راکنترل و پیامدهای تغییرات ناخواسته رابازنگری نمایدو سازمان بایداطمینان حاصل کندکه فرایندهای برون سپاری شده،شناسایی و کنترل میشوند.
2.8 ارزیابی مخاطرات امنیت اطلاعات
سازمان بایدارزیابی مخاطرات امنیت اطلاعات رادربازه زمانی طرحریزی رشده یاهنگام وقوع تغییرات مهم یاتغییرات پیشنهادشده ، بادرنظر گرفتن معیار ایجادشده دربند 2.1.6 الف ، انجام دهد.
سازمان بایداطلاعاتی مستند رادرباره نتایج ارزیابیهای مخاطرات امنیت اطلاعات ، نگهداری کندد.
3.8 برطرف سازی مخاطرات امنیت اطلاعات
سازمان بایدطرح برطرف سازی مخاطرات امنیت اطلاعات راپیاده سازی کند.
سازمان بایداطلاعاتی مستندرادرباره نتایج برطرف سازی مخاطرات امنیت اطلاعات ، نگهداری کند.
9. ارزشیابی عملکرد
1.9 پایش ، اندازه گیری ، تحلیل و ارزشیابی
سازمان بایدعملکرد امنیت اطلاعات و اثربخشی سیستم مدیریت امنیت اطلاعات راارزشیابی کند.
سازمان بایدموارد زیررامشخص کند:
الف) چه چیزهایی ذبه پایش و اندازه گیری نیازدارند ، ازجمله فرایندها و کنترلهای امنیت اطلاعات؛
ب) درصورت قابلیت اعمال ، روشهایی برای پایش ، اندازه گیری ، تحلیل و ارزشیابی ، بمنظور حصول اطمینان از معتبر بودن نتایج ؛
نکته : روشهای انتخابی بایدنتایج قابل قیاس و تکرارپذیر تولیدکنندتا معتبر شناخته شوند .
ج) چه زمانی باید پایش و اندازه گیری انجام شود .
د) چه کسی بایدپایش و اندازه گیری راانجام دهد .
ه) چه زمانی نتایج حاصل ازپایش و اندازه گیری بایدمورد تحلیل و ارزشیابی قرارگیرند
و) چه کسی بایداین نتایج راتحلیل و ارزشیابی کند.
سازمان بایداطلاعات مستند مناسب رابعنوان مدرک پایش و اندازه گیری نتایج ، نگهداری کند .
2.9 ممیزی داخلی
سازمان بایدممیزیهای داخلی رادر فواصل زمانی طرحریزی اشده انجام دهدتااطلاع حاصل شودکه آیاسیستم مدیریت امنیت اطلاعات
الف) بامواردزیر انطباق دارد :
1. الزامات خودسازمان ذبرای سیستم مدیریت امنیت اطلاعات
2. الزامات داین استاندارد بین المللی
ب) بطور اثربخش ، پیاده سازی و نگهداری میشود.
سازمان بایدر:
ج) برنامه (های) ممیزی شامل دفعات تکرار ، روشها ، مسئولیتها ، الزامات طرحریزی و گزارش دهی راطرح ریزی ، مستقر ، پیاده سازی و نگهداری کند. برنامه (های) ممیزی بایداهمیت فرایندهای موردنظر و نتایج ممیزیهای قبلی رادرنظر بگیرند.
د)معیارهای ممیزی و قلمروهر ممیزی راتعریف کند .
ه) درانتخاب ممیزان و انجام ممیزیها ، ازواقع بینی و بیطرفی فرایند ممیزی اطمینان حاصل نماید .
و) اطمینان حاصل کندکه نتایج ممیزیهابه مدیریت مربوطه گزارش داده میشوند.
ز) اطلاعات مستند رابعنوان مدرک برنامه (های) ممیزی و نتایج ممیزی ، نگهداری کند .
3.9 بازنگری مدیریت
مدیریت ارشدباید سیستم مدیریت امنیت اطلاعات سازمان رادر فواصل زمانی طرحریزی شده ، بازنگری کندتاازتداوم سازگاری ، کفایت و اثربخشی اآن اطمینان حاصل نماید.
دربازنگری مدیریت ، بایدمواردزیردرنظر گرفته شود:
الف) وضعیت اقدامات دربازنگریهای قبلی مدیریت؛
ب) تغییرات درمسایل بیرونی و درونی مرتبط بار سیستم مدیریت امنیت اطلاعات
ج) بازخوردها درباره عملکرد امنیت اطلاعات ، شامل روند:
1. عدم انطباقها و اقدامهای اصلاحی ؛
2. نتایج پایش و اندازه گیری
3. نتایج ممیزی
4. تحقق اهداف امنیت اطلاعات
د) بازخورد ازطرفهای ذینفع
ه) نتایج ارزیابی مخاطرات و وضعیت طرح برطرف سازی مخاطرات
و) فرصتهابرای بهبود مستمر
خروجیهای بازنگری مدیریت بایددربرگیرنده تصمیمات مربوط ربه فرصتهای بهبود مستمر و هرگونه نیازبه تغییردر سیستم مدیریت امنیت اطلاعات باشد.
سازمان بایداطلاعات مستند رابعنوان مدرک نتایج بازنگریهای مدیریت ، نگهداری کند .
10. بهبود
1.10 عدم انطباق و اقدام اصالحی
هنگام وقوع یک عدم انطباق ، سازمان باید:
الف) نسبت ربه عدم انطباق ، واکنش نشان داده و درصورت مقتضی :
1. ابرای کنترل و اصلاح رآن اقدام کند
2. باپیامدهای ذآن مقابله کند .
ب) نیازبه اقدام ابرای رفع علل عدم انطباق رابمنظور جلوگیری ازتکراریا بروزآن درجای دیگر ، ازطریق مواردزیر تعیین کند.
1. بازنگری عدم انطباق
0. تعیین علل عدم انطباق
2. شناسایی وجود عدم انطباقهای مشابه یااحتمال وقوع آنهاد
ج) اقدامهای موردنیازرا پیاده سازی کند.
د) اثربخشی تمام اقدامهای اصلاحی انجام شده رابازنگری کند.
ه) درصورت لزوم ، تغییراتی رادر سیستم مدیریت امنیت اطلاعات ایجادکند.
اقدامهای اصلاحی بایدمتناسب بااثرات عدم انطباقهای مشاهده رشده باشند.
سازمان بایداطلاعات مستند رابعنوان مدرک برای مواردزیرنگهداری کند:
و) ماهیت عدم انطباقها و تمام اقدامهای انجام شده متعاقب رآن؛
ز) نتایج هریک ازاقدامهای اصلاحی.
2.10 بهبود مستمر
سازمان بایدبطور مستمر ، سازگاری ، کفایت و اثربخشی سیستم مدیریت امنیت اطلاعات رابهبود بخشد .
پیوست الف
(الزامی)
کنترلها و اهداف کنترلی مرجع
اهداف کنترلی و کنترلهای فهرست شده درجدول الف.1 ، بطور مستقیم ازبندهای 5 رتا 18 استاندارد ISO/IEC27002:2013 و منطبق باآنهابرگرفته شده اند ودرچارچوب بند 3.1.6 مورد استفاده قرارخواهند گرفت .
جدول الف.7 - اهداف کنترلی و کنترلها
الف.5 : خط مشی های امنیت اطلاعات |
||
الف 1,5 : هدایت مدیریت برای امنیت اطلاعات |
||
هدف : تأمین هدایت و پشتیبانی مدیریت ازتطابق امنیت اطلاعات ، مطابق باالزامات کسب و کار و قوانین و آیین نامه رهای مرتبط |
||
الف .1,1,5 |
خط مشی امنیت اطلاعات |
کنترل : مجموعه ای ازخط مشی رهای امنیت اطلاعات ، بایدتعریف و توسط مدیریت تصویب شود،منتشرشده وبه اطاع کارکنان و طرفهای مرتبط بیرونی برسد . |
الف.2,1,5 |
بازنگری خط مشی امنیت |
کنترل : خط مشی های امنیت اطلاعات بایددر فواصل زمانی طرح ریزی شده یادر صورتیکه تغییرات مهمی رخ دهد ، بمنظور حصول اطمینان ازتداوم سازگاری ، کفایت و اثربخشی آنهابازنگری شوند . |
الف.6 : سازمان امنیت اطلاعات |
||
الف.1,6 : سازمان داخلی |
||
هدف : ایجادیک چارچوب امنیتی بمنظور شروع و کنترل پیاده سازی و اجرای امنیت اطلاعات دردرون سازمان |
||
الف.1,1,6 |
نقشها و مسئولیتهای امنیت اطلاعات |
کنترل : کلیه مسئولیتهای امنیت اطلاعات ، بایدتعریف و محول شوند . |
الف.2,1,6 |
تفکیک وظایف |
کنترل : بمنظور کاهش فرصتهای دستکاری غیرمجاز یاغیرعمد ، یاسوءاستفاده ازداراییهای سازمان ، بایدوظایف و حدود مسئولیتهای مغایر ، تفکیک شوند . |
الف.3,1,6 |
ارتباط بامراجع معتبر |
کنترل : ارتباطات مقتضی بامراجع معتبر مرتبط بایدحفظ شود . |
الف.4,1,6 |
ارتباط باگروههای ذینفع ویژه |
کنترل : ارتباطات مقتضی باگروههای ذینفع ویژه یاسایر انجمنهای امنیتی متخصص و انجمنهای حرفه ای بایدحفظ شود . |
الف.5,1,6 |
امنیت اطلاعات درمدیریت پروژه |
کنترل : امنیت اطلاعات بایددر مدیریت پروژه ، صرف نظراز نوع پروژه ، لحاظ شود. |
الف.2,6 : دستگاه های قابل حمل و دورکاری |
||
هدف : حصول اطمینان ازامنیت دورکاری و استفاده ازدستگاههای قابل حمل |
||
الف.1,2,6 |
خط مشی دستگاههای قابل حمل |
کنترل:یک خط مشی و اقدامات امنیتی پشتیبان ، بمنظور مدیریت مخاطرات ایجاد شده بدلیل استفاده ازدستگاههای قابل حمل ، بایداتخاذگردد. |
الف.2,2,6 |
دورکاری |
کنترل : یک خط مشی و اقدامات امنیتی پشتیبان ، بمنظور حفاظت ازاطلاعات قابل دسترس ، پردازش یاذخیره شده درمحلهای دورکاری ، بایدپیاده سازی شود. |
الف .7 : امنیت منابع انسانی |
||
الف.1,7 : پیش ازاشتغال |
||
هدف : حصول اطمینان ازاینکه کارکنان و پیمانکاران ، مسئولیت هایشان رادرک کرده وبرای نقشهای درنظرگرفته دشده ربرای ایشان مناسب هستند . |
||
الف.1,1,7 |
گزینش |
کنترل : پیشینه تمام داوطلبان استخدام ، بایدمطابق باقوانین مرتبط ، آیین نامه هاو اصول اخلاقی ، بررسی گرددومتناسب باالزامات کسب وکار ، طبقه بندی اطلاعاتی که دردسترس قرارمیگیرند و مخاطرات بالقوه باشند. |
الف.2,1,7 |
ضوابط و شرایط استخدام |
کنترل : توافقهای قردادی باکارکنان وپیمانکاران بایدبیانگر مسئولیتهای ایشان و سازمان ، درقبال امنیت اطلاعت باشد . |
الف .2,7 : حین خدمت |
||
هدف : حصول اطمینان ازاینکه کارکنان و پیمانکاران ازمسئولیتهای امنیت اطلاعات خودآگاه بوده و آنهارابه انجام میرسانند . |
||
الف.1,2,7 |
مسئولیتهای مدیریت |
کنترل : مدیریت بای تمامی کارکنان و پیمانکاران رابکارگیری امنیت اطلاعات، مطابق باخط مشی هاو روشهای ایجادشده سازمان ،الزام نماید . |
الف.2,2,7 |
آگاه سازی ،تحصیل و آموزش امنیت اطلاعات |
کنترل : تمامی کارکنان سازمان ، و درصورت لزوم پیمانکاران ، باید به صورت مناسب ، درخصوص خط مشی هاوروشهای سازمان ، تحصیل و آموزش آگاه سازانه ببینند وبطور منظم بروز شوند ، بطوریکه کارکرد شغلی ایشان مرتبط باشد . |
الف . 3,2,7 |
فرایند انضباطی |
کنترل : بایدبرای اقدام دربرابر کارکنانیکه مرتکب نقض امنیت اطلاعات شده اند یک فرایند انضباطی رسمی و ابلاغ شده ، وجودداشته باشد. |
الف . 3,7 : خاتمه اشتغال یاتغییر شغل |
||
هدف : محافظت ازمنافع سازمان ، بعنوان بخشی ازفرایند تغییر یاخاتمه اشتغال |
||
الف .1,3,7 |
مسئولیتهای خاتمه اشتغال یاتغییر شغل |
کنترل : مسئولیتها و وظایف امنیت اطلاعات رکه پس ازخاتمه اشتغال یاتغییرشغل ، معتبرباقی میمانند بایدتعریف شده ، ببه کارکنان یاپیمانکاران ابلاغ واجبارشوند . |
الف .8 : مدیریت داراییها |
||
الف .1,8: مسئولیت داراییها |
||
هدف : شناسایی داراییهای سازمانی و تعریف مسئولیتهای حفاظت مناسب |
||
الف .1,1,8 |
سیاهه اموال |
کنترل : داراییهای مرتبط بااطلاعات و امکانات پردازش اطلاعات بایدشناسایی شده و سیاهه ای ازاین داراییها تنظیم و نگهداری شود . |
الف.2,1,8 |
مالکیت داراییها |
کنترل : داراییهای نگهداری شده درسیاهه بایددارای مالک باشند. |
الف.3,1,8 |
استفاده پسندیده ازداراییها |
کنترل : قوانینی دبرای استفاده پسندیده ازاطلاعات و داراییهای مرتبط بااطلاعات و امکانات پردازش اطلاعات ، بایدشناسایی ، مدون و پیاده سازی شوند . |
الف.4,1,8 |
عودت داراییها |
کنترل : تمامی کارکنان و کاربران طرف بیرونی بایدکلیه داراییهای سازمانی راکه دراختیاردارند ، بمحض خاتمه اشتغال ، قرداد یاتوافق نامه ، عودت دهند. |
الف. 2,8 : طبقه بندی اطلاعات |
||
هدف : حصول اطمینان ازاینکه اطلاعات ، باتوجه ذبه اهمیت آآن ابرای سازمان ، ابه سطح حفاظتی مناسب رسیده ااست . |
||
الف.1,2,8 |
طبقه بندی اطلاعات |
کنترل : اطلاعات بایدباتوجه ربه الزمات قانونی ، ارزش ، بحرانی بودن و حساس بودن نسبت ربه افشا یادستکاری غیر مجاز ، طبقه بندی شوند . |
الف2,2,8 |
برچسب گذاری اطلاعات |
کنترل : بایدمجوعه مناسبی ازرویه هایی زبرای برچسب گذاری اطلاعات ، باتوجه ذبه الگوی طبقه بندی اطلاعات پذیرفته ذشده توسط سازمان ، ایجاد و پیاده سازی شود . |
الف.3,2,8 |
اداره کردن دارایی |
کنترل : بایدروشهایی لبرای اداره کردن داراییها ، باتوجه غبه الگوی طبقه بندی اطلاعات پذیرفته ذشده توسط سازمان ، ایجاد و پیاده سازی شود . |
الف.3,8 : اداره کردن رسانه ها |
||
هدف : پیشگیری ازافشا ، دستکاری ، حذف یاتخریب غیرمجاز اطلاعات ذخیره شده دررسانه هار |
||
الف.1,3,8 |
مدیریت رسانه رهای جداشدنی |
کنترل : بایدروشهایی زبرای مدیریت رسانه رهای جداشدنی ، نظربه الگوی طبقه بندی پذیرفته زشده توسط سازمان ، ایجاد و پیاده سازی شود . |
الف.2,3,8 |
امحاء رسانه |
کنترل : رسانه هابایدزمانیکه دیگر موردنیاز نیستند ، بصورت امن و بااستفاده ازروشهایی رسمی ، امحا شوند . |
الف.3,3,8 |
انتقال رسانه فیزیکی |
کنترل : رسانه رهای حاوی اطلاعات بایددرحین انتقال ، دربرابردسترسی غیرمجاز ، سوء استفاده یاخرابی ، محافظت شوند . |
الف.9 : کنترل دسترسی |
||
الف.1,9 : الزامات کسب و کار برای کنترل دسترسی |
||
هدف : محدودسازی دسترسی زبه اطلاعات و امکانات پردازش اطلاعات |
||
الف.1,1,9 |
خط مشی کنترل دسترسی |
کنترل : بایدخط مشی کنترل دسترسی ، برمبنای الزامات کسب و کار و امنیت اطلاعات ، ایجاد ، مدون و بازنگری شود . |
الف.2,1,9 |
دسترسی ذبه شبکه هاو سرویسهای شبکه |
کنترل : کاربران فقط بایدبه شبکه و سرویسهایی ازشبکه دسترسی داشته باشندکه بطور مشخص ، مجوز استفاده ازآنهاراداشته باشند . |
الف.2,9 : مدیریت دسترسی کاربر |
||
هدف : حصول اطمینان ازدسترسی کاربر مجازشده و جلوگیری ازدسترسی غیرمجازبه سیستمها و سرویسها |
||
الف.1,2,9 |
ثبت و حذف کاربر |
کنترل : بایدفرایندی رسمی ربرای ثبت و حذف کاربر ، بمنظورایجاد امکان اعطای حقوق دسترسی ، پیاده سازی شود . |
الف.2,2,9 |
تامین مجوز دسترسی کاربر |
کنترل : بایدیک فرایند رسمی تامین مجوز دسترسی کاربر ، جهت اعطا یالغو حقوق دسترسی زبرای کلیه انواع کاربران زبه تمامی سیستمها و سرویسها ، پیاده سازی شود . |
الف.3,2,9 |
مدیریت حق دسترسی ویژه |
کنترل : تخصیص اطلاعات محرمانه احراز هویت ، بایدازطریق زیک فرایند رسمی مدیریتی ، کنترل شود . |
الف.4,2,9 |
مدیریت اطلاعات محرمانه احراز هویت کاربران |
کنترل : تخصیص اطلاعات محرمانه احراز هویت ، بایدازطریق ریک فرایند رسمی مدیریتی ، کنترل شود . |
الف.5,2,9 |
بازنگری حقوق دسترسی کاربر |
کنترل : مالکان داراییهاباید حقوق دسترسی کاربران رادرفواصل زمانی منظم بازنگری کنند . |
الف.6,2,9 |
حذف یااصلاح حقوق دسترسی |
کنترل : حقوق دسترسی تمامی کارکنان و کاربران طرف بیرونی زبه اطلاعات و امکانات پردازش اطلاعات ، بایدبمحض خاتمه اشتغال ، قراداد یاتوافق نامه آنهاحذف شده ، ودرصورت تغییر وضعیت ، اصلاح شوند . |
الف.3,9 : مسئولیت های کاربر |
||
هدف : پاسخگوبودن کاربران دربرابرحفاظت ازاطلاعات احراز هویت |
||
الف.1,3,9 |
استفاده ازاطلاعات محرمانه احراز هویت |
کنترل : کاربران بایدبه پیروی ازدستورالعملهای سازمانی جهت استفاده ازاطلاعات محرمانه احراز هویت ، ملزم شوند . |
الف.4,9 : کنترل دسترسی به سیستم و برنامه |
||
هدف : جلوگیری ازدسترسی غیرمجازبه سیستمها و برنامه هار |
||
الف.1,4,9 |
محدودیت دسترسی ربه اطلاعات |
کنترل : دسترسی ربه اطلاعات و کارکردهای سیستم برنامه ، بایدمطابق باخط مشی کنترل دسترسی ، محدودشود . |
الف.2,4,9 |
روشهای ورود امن |
کنترل : دسترسی زبه سیستمها و برنامه هار ، درصورت الزام درخط مشی کنترل دسترسی ، بایدتوسط زیک رویه ورود امن ، کنترل شود . |
الف.3,4,9 |
سیستم مدیریت کلمه عبور |
کنترل : سیستمهای مدیریت کلمه عبورباید تعاملی بوده و کیفیت کلمات عبور را تضمین نمایند . |
الف.4,4,9 |
استفاده ازبرنامه رهای کمکی |
کنترل : استفاده ازبرنامه زهای کمکی که ممکن راست قادربه ابطال کنترلهای سیستم و برنامه هاباشند ، بایدمحدود شده وبه شدت کنترل شود . |
الف.5,4,9 |
کنترل دسترسی ربه کد منبع برنامه |
کنترل : دسترسی ربه کد منبع برنامه ، بایدمحدودشود . |
الف.10 : رمزنگاری |
||
هدف : حصول اطمینان ازاستفاده بجا و اثربخش ازرمزنگاری ، بمنظور حفاظت ازمحرمانگی ، اصالت یاصحت اطلاعات |
||
الف.1,1,10 |
خط مشی استفاده ازکنترلهای رمزنگاری |
کنترل : بایدخط مشی استفاده ازکنترلهای رمزنگاری ، جهت حفاظت ازاطلاعات ، ایجاد و پیاده سازی دشود . |
الف.2,1,10 |
مدیریت کلید |
کنترل : خط مشی استفاده ، حفاظت و طول عمر کلیدهای رمزنگاری ، بایدایجاد ودرکل چرخه حیات آنها پیاده سازی رشود . |
الف.11 : امنیت فیزیک و محیطی |
||
الف.1,11 : نواحی امن |
||
هدف : جلوگیری ازدسترسی فیزیکی غیر مجاز ، خسارت و مداخله دراطلاعات و امکانات پردازش اطلاعات سازمان |
||
الف.1,1,11 |
حصار امنیت فیزیکی |
کنترل : حصارهای امنیتی بایدبرای حفاظت ازنواحی حاوی اطلاعات و امکانات پردازش اطلاعات حساس یاحیاتی ، تعیین شده و استفاده شوند . |
الف.2,1,11 |
کنترلهای مداخل فیزیکی |
کنترل : نواحی امن ، بمنظور حصول اطمینان ازاینکه فقط کارکنان مجاز ، اجازه دسترسی دارند ، بایدتوسط کنترلهای مداخل مناسب ، حفاظت شوند. |
الف.3,1,11 |
امن سازی دفاتر ، اتاقها و امکانات |
کنترل : امنیت فیزیکی زبرای دفاتر ، اتاقها و امکانات ، بایدطراحی مشده وبکارگرفته شود. |
الف.4,1,11 |
محافظت دربرابر تهدیدهای بیرونی و محیطی |
کنترل : حفاظت فیزیکی دربرابر بلایای طبیعی ، سوانح و حملات خرابکارانه ، بایدطراحی زشده و بکار گرفته شود . |
الف.5,1,11 |
نواحی تحویل و بارگیری |
کنترل : نقاط دسترسی مانند نواحی تحویل و بارگیری و سایر نقاطی رکه افراد متفرقه ممکن هست وارد محوطه هاشوند ، بایدتحت کنترل قرارگیرند ، ودرصورت امکان ، بخاطر جلوگیری ازدسترسی غیر مجاز ، ازامکانات پردازش اطلاعات ، مجزاشوند . |
الف.2,11 : تجهیزات |
||
هدف : جلوگیری ازفقدان ، آسیب ، سرقت یابه خطر افتادن داراییها و ایجاد وقفه درفعالیتهای سازمان |
||
الف.1,2,11 |
استقرار و حفاظت ازتجهیزات |
کنترل : تجهیزات باید(درمحل مناسب) مستقر و محافظت شوندتامخاطرات ناشی ازتهدیدها و خطرات محیطی و فرصتهای دسترسی غیرمجاز ، کاهش یابند . |
الف.2,2,11 |
امکانات پشتیبانی |
کنترل : تجهیزات بایددربرابر خرابی برق و سایر اختلالات ناشی ازخرابی امکانات پشتیبانی ، محافظت شوند . |
الف.3,2,11 |
امنیت کابل کشی |
کنترل : کابل کشیهای برق و مخابرات مورد استفاده ذبرای انتقال داده یاپشتیبانی ازسرویسهای اطلاعاتی ، بایددربرابر قطع شدن ، ایجاد تداخل یاآسیب ، محافظت شوند . |
الف.4,2,11 |
نگهداری تجهیزات |
کنترل : تجهیزات بایدبمنظور حصول اطمینان ازتداوم دسترس پذیری و صحت شان ، بدرستی نگهداری شوند . |
الف.5,2,11 |
خروج داراییها |
کنترل : تجهیزات ، اطلاعات یانرم افزار ، نبایدبدون مجوز قبلی ازمحل خارج شوند . |
الف.6,2,11 |
امنتیت تجهیزات و داراییهای خارج ازمحوطه |
کنترل : دبرای داراییهای خارج ازمحوطه ، بایدنظربه مخاطرات مختلف ناشی ازانجام کار درخارج ازمحوطه رهای سازمان ، امنیت برقرارشوند . |
الف.7,2,11 |
امحا یااستفاده مجدد ازتجهیزات بصورت امن |
کنترل تمام اجزای تجهیزاتی اکه دارای رسانه ذخیره سازی هستند ، باید به منظور حصول اطمینان ازاینکه کلیه داده رهای حساس و نرم افزارهای دارای حق امتیاز ، پیش ازمحا یااستفاده مجدد ، حذف اشده یابه شیوه امنی بازنویسی شده اند ، بررسی شوند . |
الف.8,2,11 |
تجهیزات بدون مراقبت کاربر |
کنترل : کاربران بایداطمینان حاصل کنندکه تجهیزات بدون مراقبت ، حفاظت مناسبی دارند . |
الف.9,2,11 |
خط مشی میز پاک و صفحه پاک |
کنترل : خط مشی میز پاک ابرای اوراق و رسانه اهای ذخیره سازی جداشدنی ، و خط مشی صفحه پاک ربرای امکانات پردازش اطلاعات ، بایداتخاذشوند. |
الف.12 : امنیت عملیات |
||
الف.1,12 : روشهای عملیاتی و مسئولیتها |
||
هدف : حصول اطمینان ازکارکرد صحیح و امن امکانات پردازش اطلاعات |
||
الف.1,1,12 |
روشهای عملیاتی مدون |
کنترل : روشهای عملیاتی بایدمدون شوند و دردسترس همه کاربرانی که به آنها نیازدارند ، قرارگیرند . |
الف.2,1,12 |
مدیریت تغییر |
کنترل : تغییرات درسازمان ، فرایندهای کسب و کار ، امکانات و سیستمهای پردازش اطلاعات دکه برامنیت اطلاعات تاثیرگذارهستند ، بایدکنترل شوند . |
الف.3,1,12 |
مدیریت ظرفیت |
کنترل : استفاده ازمنابع ، بایدپایش و تنظیم رشده و پیش بینی ظرفیت موردنیاز آینده جهت حصول اطمینان ازکارایی الزامات سیستم ، انجام حشود . |
الف.4,1,12 |
جداسازی محیطهای توسعه ، آزمایش و عملیاتی |
کنترل : محیطهای توسعه ، آزمایش و عملیاتی ، بایدبمنظور کاهش مخاطرات ناشی ازدسترسی یاتغییر غیرمجاز درمحیط عملیاتی ، ازیکدیگر جداشوند . |
الف.2,12 : حفاظت دربرابر بدافزارها |
||
هدف : حصول اطمینان ازاینکه اطلاعات و امکانات پردازش اطلاعات دربرابر بدافزارها حفاظت میشوند . |
||
الف.1,2,12 |
کنترل ها دربرابر بدافزارها |
کنترل : کنترلهای تشخیص ، جلوگیری و بازیابی ، بمنظور حفاظت دربرابر بدافزارها ، بایدپیاده سازی دشده وبا آگاه سازی مناسب کاربر همراه شوند . |
الف.3,12 : پشتیبان گیری |
||
هدف : حفاظت دربرابر فقدان داده ها |
||
الف.1,3,12 |
پشتیبان گیری ازاطلاعات |
کنترل : نسخه رهای پشتیبانی ازاطلاعات ، نرم افزار و تصاویر سیستم ، بایدنظربه خط مشی مورد توافق پشتیبان گیری ، تهیه و بصورت منظم آزمایش شوند . |
الف.4,12 : ثبت پایش |
||
هدف : ثبت رویدادها و ایجاد شواهد |
||
الف.1,4,12 |
ثبت رویداد |
کنترل : ثبت رویدادها شامل ثبت فعالیتهای کاربر ، استثناءها ، خطاها و رویدادهای امنیت اطلاعات ، بایدایجاد ، نگهداری وبصورت منظم بازنگری شوند . |
الف.2,4,12 |
حفاظت ازاطلاعات ثبت رشده رویدادها |
کنترل : امکانات ثبت رویداد و اطلاعات ثبت رشده ، بایددربرابر دستکاری و دسترسی غیرمجاز حفاظت شوند . |
الف.3,4,12 |
ثبت رویدادهای مدیر و اپراتور سیستم |
کنترل : فعالیتهای مدیر سیستم و اپراتور سیستم بایدثبت شوندو رویدادهای ثبت شده بایدمحافظت و بصورت منظم ، بازنگری شوند . |
الف.4,4,12 |
همزمان سازی ساعتها |
کنترل : ساعتهای تمامی سیستمهای پردازش اطلاعات مرتبط دردرون ریک سازمان یادامنه اطلاعاتی ، بایدبایک منبع زمانی مرجع واحد ، همزمان شوند . |
الف.5,12 : کنترل نرم افزارهای عملیاتی |
||
هدف : حصول اطمینان ازصحت سیستمهای عملیاتی |
||
الف.1,5,12 |
نصب نرم افزار برروی سیستمهای عملیاتی |
کنترل : روشهایی ربرای کنترل نصب نرم افزار برروی سیستمهای عملیاتی بایدپیاده سازی رشوند. |
الف.6,12 : مدیریت آسیب پذیری فنی |
||
الف.1,16 : مدیریت و بهبود رخدادهای امنیت اطلاعات |
||
هدف : حصول اطمینان ازبکارگیری رویکردی استوار و اثربخش ابرای مدیریت رخدادهای امنیت اطلاعات ، شامل اعلان رویدادهای امنیتی و نقاط ضعف |
||
الف.1,1,16 |
مسئولیتها و رویه هار |
کنترل : مسئولیتهای مدیریتی و رویه هار ، بمنظور حصول اطمینان ازپاسخگویی سریع ، موثر و منظم زبه رخدادهای امنیت اطلاعت ، بایدوضع شوند . |
الف.2,1,16 |
گزارش دهی رویدادهای امنیت اطلاعات |
کنترل : رویدادهای امنیت اطلاعات بایدازطریق مجاری مدیریتی مناسب ، درکوتاه ترین زمان ممکن گزارش شوند . |
الف.3,1,16 |
گزارش دهی نقاط ضعف امنیت اطلاعات |
کنترل : کارکنان و پیمانکارانی بکه ازسیستمها و سرویسهای اطلاعاتی سازمان استفاده میکنند ، بایدنسبت نبه یادداشت برداری و گزارش دهی هرگونه ضعف امنیت اطلاعات مشاهده شده یامشکوک درسیستمها یاسرویسها ، ملزم شوند . |
الف.4,1,16 |
ارزیابی و تصمیم گیری درباره رویدادهای امنیت اطلاعات |
کنترل : رویدادهای امنیت اطلاعات ، بایدارزیابی شوند و درخصوص اینکه لازمست بعنوان رخدادهای امنیت اطلاعات طبقه بندی شوند ، تصمیم گیری شود . |
الف.5,1,16 |
پاسخ طبه رخدادهای امنیت اطلاعات |
کنترل : بایدنظربه روشهای مدون ، ذبه رخدادهای امنیت اطلاعات پاسخ داده شود . |
الف.7,1,16 |
جمع آوری شواهد |
کنترل : سازمان بایدروشهایی رابرای شناسایی ، جمع آوری ، اکتساب و حفظ اطلاعاتی قکه میتوانند بعنوان شواهد مورد استفاده قرارگیرند ، تعریف نموده و بکار گیرد . |
الف.17 : جوانب امنیت اطلاعات درمدیریت تداوم کسب و کار |
||
الف.1,17 : تداوم امنیت اطلاعات |
||
هدف : تداوم امنیت اطلاعات بایددرسیستمهای مدیریت تداوم کسب و کار سازمان ، لحاظ شود . |
||
الف.1,1,17 |
طرح ریزی تداوم امنیت اطلاعات |
کنترل : سازمان بایدالزاماتش رابرای امنیت اطلاعات و تداوم مدیریت امنیت اطلاعات دروضعیتهای نامطلوب ، بعنوان مثال هنگام بحران یافاجعه ، تعیین کند . |
الف.2,1,17 |
پیاده سازی تداوم امنیت اطلاعات |
کنترل : بمنظور حصول اطمینان ازسطح الزامی تداوم برای امنیت اطلاعات درهنگام ریک موقعیت نامطلوب ، سازمان بایدفرایندها ، روشها و کنترلهایی راوضع ، مدون ، پیاده سازی و نگهداری کند . |
الف.3,1,17 |
بررسی ، بازنگری و ارزیابی تداوم امنیت اطلاعات |
کنترل : سازمان بایدکنترلهای تدوام امنیت اطلاعات راکه وضع و پیاده سازی بشده اند ، درفواصل زمانی منظم بررسی کندتااطمینان حاصل شوداین کنترلها درهنگام وضعیتهای نامطلوب ، معتبر و موثر هستند . |
الف.2,17 : جایگزین ها |
||
هدف : حصول اطمینان از دسترس پذیری امکانات پردازش اطلاعات |
||
الف.1,2,17 |
دسترس پذیری امکانات پردازش اطلاعات |
کنترل : امکانات پردازش اطلاعات بایدباجایگزینهای کافی جهت برآورده سازی الزامات دسترس پذیری ، پیاده سازی شوند . |
الف.18 : انطباق |
||
الف.1,18 : انطباق باالزامات قانونی و قراردادی |
||
هدف : پرهیز ازنقض تعهدات قانونی ، حقوقی ، مقرراتی یاقراردادی مرتبط با امنیت اطلاعات و هرالزام امنیتی |
||
الف.1,1,18 |
شناسایی الزامات قانونی و قراردادی قابل اجرا |
کنترل : تمامی الزامات قانونی ، حقوقی ، مقرراتی ، قراردادی مرتبط و رویکرد سازمان نسبت صبه تحقق زاین الزامات ، بایدبرای هریک ازسیستمهای اطلاعاتی و سازمان ، واضح شناسایی ، مدون و بروز نگهداشته شوند . |
الف.2,1,18 |
حقوق مالکیت معنوی |
کنترل : روشهای مناسب ، بمنظور حصول اطمینان ازانطباق باالزامات قانونی ، مقرراتی و قراردادی مرتبط باحقوق مالکیت معنوی و استفاده ازمحصولات نرم افزاری دارای حقوق مالکیت ، بایدپیاده سازی شوند . |
الف.3,1,18 |
حفاظت ازسوابق |
کنترل : سوابق بایدمطابق باالزامات قانونی ، مقرراتی ، قراردادی و الزامات کسب و کار دربرابر فقدان ، تخریب ، تحریف ، دسترسی غیرمجاز و افشای غیرمجاز محافظت شوند . |
الف.4,1,18 |
حریم خصوصی و حفاظت ازاطلاعات هویت شخصی |
کنترل : درصورت قابلیت پیاده سازی حریم خصوصی و حفاظت ازاطلاعات هویتی شخصی بایدهمانگونه خکه درقوانین و مقررات مرتبط الزام شده ذاست ، تضمین شود . |
الف.5,1,18 |
قواعد کنترلهای رمزنگاری |
کنترل : کنترلهای رمزنگاری بایدمنطبق باتمامی توافق نامه هاز ، قوانین و مقررات مرتبط ، بکار گرفته شوند . |
الف.2,18 : بازنگریهای امنیت اطلاعات |
||
هدف : حصول اطمینان ازاینکه امنیت اطلاعات ، مطابق باخط مشی و روشهای سازمانی ، پیاده سازی و اجرا میشوند . |
||
الف.1,2,18 |
بازنگری مستقل امنیت اطلاعات |
کنترل : رویکرد سازمان نسبت ببه مدیریت امنیت اطلاعات و پیاده سازی بآن ( بعنوان مثال اهداف کنترلی ، کنترلها ، خط مشی ، فرایندها و روشهای اجرایی امنیت اطلاعات ) ، بایددر فواصل زمانی طرح ریزی گشده یا هنگامیکه تغییرات مهمی رخ میدهد ، بطور مستقل بازنگری شود . |
الف.2,2,18 |
انطباق باخط مشی و استانداردهای امنیتی |
کنترل : مدیران بایدانطباق پردازش اطلاعات و روشها رادر حیطه مسئولیت شان ، باخط مشی و استانداردهای امنیتی مناسب و دیگر الزامات امنیتی ، بطور منظم بازنگری کنند . |
الف.3,2,18 |
بازنگری انطباق فنی |
کنترل : سیستمهای اطلاعاتی بایدبمنظور انطباق باخط مشی و استانداردهای امنیت اطلاعات سازمان ، بطور منظم بازنگری شوند . |
دانلود رایگان فایل متن استاندارد سیستم مدیریت امنیت اطلاعات
بامادرارتباط باشید . . .