Transcript کنترل
سیستم مدیریت امنیت اطالعات
بر اساس استاندارد
Iso 27001 :2005
هدف استاندارد 27001
فراهم آوردن مدلی برای ایجاد ،پیاده سازی ،اجرا ،پایش
،بازنگری ،نگهداری و بهبود یک سیستم مدیریت امنیت
اطالعات
اساس طراحی و پیاده سازی
طراحی و پیاده سازی استاندارد تحت تاثیر ،نیازها و اهداف ،
الزامات امنیتی ،فرآیندهای بکارگرفته شده و اندازه و ساختار
سازمان می باشد .
مالک عمل در سیستم مدیریت امنیت
اطالعات
دیدگاه فرایند گرا
فرایند چیست ؟
هر فعالیتی که منابعی را به خدمت می گیرد و آن را به منظور
تبدیل ورودی ها به خروجی ها ،مدیریت می نماید ،می تواند
یک فرایند در نظر گرفته شود .
اغلب ،خروجی یک فرآیند ،ورودی فرآیند بعدی را شکل می
دهد .
دیدگاه فرآیندگرا چیست ؟
بکارگیری سیستمی از فرآیندهای درون سازمان ،همراه با
شناسایی و تعیین ارتباط متقابل این فرایندها و همچنین
مدیریت آنها ،دیدگاه فرایند گرا نامیده می شود .
موارد مهم در دیدگاه فرآیند گرایی
الف – درک الزامات امنیت اطالعات سازمان و لزوم ایجاد خط مش ی و اهداف برای امنیت
اطالعات
ب -پیاده سازی و اجرای کنترل ها برای مدیریت مخاطرات امنیت اطالعات یک سازمان در
خصوص مخاطرات کالن کسب و کار سازمان
ج -پایش و بازنگری عملکرد و اثربخش ی سیستم مدیریت امنیت اطالعات
د -بهبود مستمر بر پایه اندازه گیری اهداف
مدل PDCA
طرح
ایجاد سیستم مدیریت امنیت
اطالعات
اجرا
طرف های
ذینفع
پیاده سازی و اجرای سیستم
مدیریت امنیت اطالعات
نگهداری و بهبود سیستم
مدیریت امنیت و اطالعات
طرف های
ذینفع
اقدام
امنیت اطالعات
مدیریت شده
پایش و بازنگری سیستم
مدیریت امنیت اطالعات
بررس ی
انتظارات و الزامات
امنیت اطالعات
طرح (ایجاد سیستم مدیریت امنیت اطالعات )
ایجاد خط مش ی ،اهداف ،فرآیندها و روش های اجرایی سیستم مدیریت امنیت
اطالعات و مرتبط با مدیریت مخاطرات و بهبود امنیت اطالعات ،به منظور
حصول نتایجی مطابق با خط مش ی ها و اهداف کالن یک سازمان .
اجرا (پیاده سازی و اجرای سیستم مدیریت امنیت اطالعات )
پیاده سازی و اجرای خط مش ی ،کنترل ها ،فرآیندها و روش های اجرایی سیستم
مدیریت امنیت اطالعات
بررس ی(پایش و بازنگری سیستم مدیریت امنیت اطالعات )
ارزیابی ،و در موارد مقتض ی ،سنجش عملکرد فرآیند ،مطابق با خط مش ی ،
اهداف و تجارب عملی امنیتی سیستم مدیریت امنیت اطالعات و گزارش نتایج به
مدیریت به منظور بازنگری
اقدام (نگهداری و بهبود سیستم مدیریت امنیت اطالعات )
انجام اقدامات اصالحی و پیشگیرانه بر مبنای نتایج ممیزی داخلی سیستم مدیریت
امنیت اطالعات و بازنگری مدیریت یا سایر اطالعات مرتبط ،به منظور دستیابی
به بهبود مستمر سیستم مدیریت امنیت اطالعات
دامنه کاربرد
الزامات بیان شده عمومی بوده و قصد آن است که در کلیه
سازمان ها ،صرف نظر از نوع ،اندازه و ماهیت ،قابل
اعمال باشند .
کنار گذاری ها
کنارگذاری هر یک از الزامات مشخص شده در بندهای 8 ،7 ،6 ، 5 ، 4هنگامیکه یک سازمان ادعای
تطابق با این استاندارد بین املللی را دارد ،قابل پذیرش نمی باشد .
کنار گذاری هر یک از کنترلهایی که برای برآورده سازی معیار پذیرش مخاطرات الزمند ،نیازمند توجیه
و فراهم آوری شواهدی است که مخاطرات مربوطه ،توسط افراد پاسخگو ،پذیرفته شده باشند .
هرجا کنترلی کنار گذاشته شود ،ادعای تطابق با این استاندارد بین املللی پذیرفتنی نیست مگر آنکه
اینگونه موارد ،توانایی و /یا مسئولیت سازمان در قبال فراهم آوری امنیت اطالعاتی که الزامات
امنیتی مشخص شده به وسیله برآورد مخاطرات و الزامات قانونی یا آیین نامه ای مقتض ی را بر آورده
می سازد ،تحت تاثیر قرار ندهد .
مراجع اصلی
مدارک معرفی شده زیر برای استفاده از این مستند ،ضروری می باشند :
مراجع تاریخ دار فقط ویرایش ذکر شده معتبر است . مراجع بدون تاریخ ،آخرین ویرایش مستندی (مشتمل بر تمامی اصالحیه ها ) که ارجاع به آنهامربوط می گردد ،معتبر است .
دارایی
هر چیزی که برای سازمان دارای ارزش می باشد .
دسترس پذیری
ویژگی در دسترس و قابل استفاده بودن ،به محض تقاضای یک
موجودیت مجاز شده
محرمانگی
ویژگی که اطالعات در دسترس افراد ،موجودیت ها یا فرآیندهای غیر
مجاز قرار نگرفته یا فاش نشود .
یکپارچگی
ویژگی حفظ صحت و تمامیت دارایی ها
امنیت اطالعات
حفظ محرمانگی ،یکپارچگی و دسترس پذیری اطالعات .همچنین ،
ویژگیهایی از قبیل سندیت ،پاسخگویی ،انکار ناپذیری و قابلیت
اطمینان ،می توانند لحاظ شوند .
رویداد امنیت اطالعات
رخداد شناسایی شده یک سیستم ،خدمت یا شبکه ،که داللت بر
نقض احتمالی خط مش ی امنیت اطالعات یا نقص حفاظتی ،یا
وضعیتی که ممکن است با امنیت مرتبط بوده و قبال شناخته نشده ،
دارد .
حادثه امنیت اطالعات
یک یا مجموعه ای از رویدادهای امنیت اطالعات ناخواسته یا پیش
بینی نشده که به احتمال زیاد ،عملیات کسب و کار را به خطر
انداخته و امنیت اطالعات را تهدید کنند .
سیستم مدیریت امنیت اطالعات isms
قسمتی از سیستم مدیریت کالن ،بنا شده بر دیدگاه مخاطرات کسب و کار ،به
منظور ایجاد ،پیاده سازی ،اجرا ،پایش ،بازنگری نگهداری و بهبود امنیت
اطالعات .
سیستم مدیریتی ،شامل ساختار سازمانی ،خط مش ی ها ،طرح ریزی فعالیت ها
،مسئولیت ها ،تجارب ،روش های اجرایی ،فرآیندها و منابع می باشد .
مخاطرت باقیمانده
مخاطرات باقیمانده پس از برطرف سازی مخاطرات
پذیرش مخاطرات
تصمیم برای پذیرش یک مخاطره
تحلیل مخاطرات
استفاده نظام مند از اطالعات به منظور شناسایی منابع و تخمین
مخاطرات
برآورد مخاطرات
فرآیند کلی تحلیل و ارزیابی مخاطرات
ارزیابی مخاطرات
فرآیند مقایسه مخاطره تخمین زده شده با معیار مخاطرات ارائه شده
،به منظور تعیین اهمیت مخاطره
مدیریت مخاطرات
فعالیت های هماهنگ شده برای هدایت و کنترل یک سازمان با توجه
به مخاطرات .
مدیریت ارتباطات و عملیات
حفاظت در برابر کدهای مخرب و سیار
مقصود :حفاظت از یکپارچگی نرم افزار و اطالعات
کنترل هایی در برابر کنترل های الزم برای تشخیص ،پیشگیری و ترمیم به منظور
حفاظت در برابر کدهای مخرب ،و روش های اجرایی مناسب برای
کدهای مخرب
آگاه سازی کاربران ،باید پیاده سازی شوند .
کنترل هایی در برابر جائیکه استفاده از کدهای سیار ،مجاز شده ،پیکربندی باید
اطمینان دهد که کد سیار مجاز شده ،با توجه به خط مش ی امنیتی
کدهای سیار
ای که به صورت شفاف تعریف شده ،عمل می کند ،و از اجرای
کد سیار غیر مجاز نیز باید پیشگیری شود .
برطرف سازی مخاطرات
فرآیند انتخاب و پیاده سازی معیارهایی برای تعدیل مخاطرات .
در این استاندارد بین املللی ،واژه کنترل به عنوان مترادف معیار به کار
رفته است
بیانیه کاربست پذیری()applicability
بیانیه مستند شده ای که اهداف کنترلی و کنترل های وابسته و بکار برده شده در
سیستم مدیریت امنیت اطالعات سازمان را تشریح می کند .
اهداف کنترلی و کنترلها ،بر مبنای نتایج و استنتاج از فرآیندهای برآورد و برطرف
سازی مخاطرات ،الزامات قانونی یا آئین نامه ای ،تعهدات قراردادی و الزامات
کسب و کار سازمان برای امنیت اطالعات ،پایه ریزی می شوند .
ایجاد سیستم مدیریت امنیت اطالعات
برای ایجاد سیستم مدیریت امنیت اطالعات مراحل زیر باید انجام شود :
مرحله اول :تعریف دامنه و مرزهای سیستم مدیریت امنیت اطالعات ،بر مبنای
ویژگیهای کسب و کار ،سازمان ،مکان ،دارایی ها و فناوری آن ،و مشتمل بر
جزئیات و توجیه برای کنارگذاری هر چیزی از دامنه .
مرحله دوم :تعریف یک خط مش ی سیستم مدیریت امنیت اطالعات بر مبنای
ویژگیهای کسب و کار ،سازمان ،مکان ،دارایی ها و فناوری آن
ایجاد سیستم مدیریت امنیت اطالعات
مرحله سوم :تعریف رویکرد برآورد مخاطرات سازمان
مرحله چهارم :شناسایی مخاطرات
مرحله پنجم :تحلیل و ارزیابی مخاطرات
مرحله ششم :شناسایی و ارزیابی گزینه هایی برای برطرف سازی مخاطرات
مرحله هفتم :گزینش اهداف کنترلی و کنترل ها برای برطرف سازی مخاطرات
ایجاد سیستم مدیریت امنیت اطالعات
مرحله هشتم :دریافت مصوبه مدیریت برای مخاطرات باقیمانده پیشنهاد شده
مرحله نهم :دریافت مجوز مدیریت برای پیاده سازی و اجرای سیستم مدیریت
امنیت اطالعات
مرحله دهم :تهیه بیانیه کاربست پذیری
مدیریت ارتباطات و عملیات
طرح ریزی و پذیرش سیستم
مقصود :کمینه کردن مخاطرات ناش ی از نقایص سیستم ها
مدیریت ظرفیت
استفاده از منابع باید پایش شده ،تنظیم شده ،و ظرفیت مورد نیاز
در آینده به گونه ای پیش بینی شود که از کارایی مورد نیاز سیستم ،
اطمینان حاصل شود .
پذیرش سیستم
معیار پذیرش سیستم های اطالعاتی جدید ،ویرایش های ارتقاء
یافته و جدید ،باید ایجاد شده و در حین توسعه و پیش از پذیرش
سیستم ،آزمایش های مناسب انجام پذیرند .
خصوصیات خط مش ی سیستم مدیریت امنیت
اطالعات
الف -مشتمل بر چارچوبی برای تعیین اهداف و ایجاد یک درک کالن از مسیر و مبانی برای اقدام ،
با توجه به امنیت اطالعات باشد .
ب -دربرگیرنده کسب و کار ،الزامات قانونی یا آئین نامه ای و تعهدات امنیتی قراردادی باشد .
ج – با مفاد مدیریت مخاطرات راهبردی سازمان که در ایجاد و نگهداری سیستم مدیریت امنیت
اطالعات لحاظ خواهد شد ،هماهنگ شود .
د -معیاری ایجاد کند که مطابق آن ،مخاطرات ارزیابی خواهند شد .
ه -توسط مدیریت تصویب شود .
خط مش ی امنیت اطالعات
هدف :فراهم آوری جهت گیری و حمایت مدیریت برای امنیت اطالعات با توجه به الزامات کسب
و کار و قوانین و آئین نامه های مرتبط .
کنترلها
-1باید توسط مدیریت تصویب ،و منتشر و به اطالع همه کارکنان و طرف های مرتبط بیرونی
برسد .
-2باید در فواصل زمانی طرح ریزی شده یا در صورتیکه تغییرات بارزی رخ دهد ،به منظور
حصول اطمینان از تداوم تناسب ،کفایت و اثربخش ی آن ،بازنگری شود .
کنترل دسترس ی
الزامات کسب و کار برای کنترل دسترس ی
مقصود :کنترل دسترس ی به اطالعات
خط
دسترس ی
مش ی
کنترل یک خط مش ی کنترل دسترس ی باید بر مبنای الزامات کسب و کار و الزامات
امنیتی در خصوص دسترس ی ،ایجاد ،مدون و بازنگری شود .
رویکرد برآورد مخاطرات سازمان
-1شناسایی یک متدولوژی برآورد مخاطرات که برای سیستم مدیریت امنیت اطالعات و امنیت
اطالعات شناسایی شده کسب و کار ،الزامات قانونی و آئین نامه ای ،متناسب شده باشد .
-2ایجاد معیاری برای پذیرش مخاطرات و شناسایی سطوح قابل قبول مخاطرات
متدولوژی برآورد مخاطرات انتخاب شده ،باید اطمینان دهد که برآورد مخاطرات ،نتایجی قابل
قیاس و تجدید پذیر ،ارائه می کند .
سازمان داخلی
مقصود :مدیریت کردن امنیت اطالعات در درون سازمان
تعهد مدیریت به
امنیت اطالعات
هماهنگی
اطالعات
مدیریت باید فعاالنه ،امنیت را در درون سازمان از طریق جهت گیری
شفاف ،تعهد اثبات شده ،مکلف کردن به صورت صریح و اعالم
مسئولیت های امنیت اطالعات ،حمایت نماید .
امنیت فعالیت های امنیت اطالعات ،باید توسط نمایندگانی از بخش های
مختلف سازمان با نقش ها و کارکردهای شغلی مرتبط ،هماهنگ
شوند .
تخصیص مسئولیت
های امنیت اطالعات
فرآیند مجازسازی
امکانات
برای
پردازش اطالعات
تمامی مسئولیت های امنیت اطالعات ،باید به وضوح تعریف شوند
.
یک فرآیند مجاز سازی مدیریتی برای امکانات جدید پردازش اطالعات
،باید تعریف و پیاده سازی شود .
سازمان داخلی
مقصود :مدیریت کردن امنیت اطالعات در درون سازمان
توافق نامه های الزاماتی برای توافقنامه های محرمانگی یا عدم افشاء که منعکس
کننده نیازهای سازمان به حفاظت از اطالعات می باشد ،باید
محرمانگی
شناسایی و به طور منظم بازنگری شود .
برقراری ارتباط با باید ارتباطات مناسبی با اولیای امور مرتبط ،برقرار و حفظ شود
اولیای امور
برقراری ارتباط با باید ارتباطات مناسبی با گروههای دارای گرایش خاص یا سایر
دارای انجمن های امنیتی متخصص و انجمن های حرفه ای ،برقرار و
گروههای
حفظ شود .
گرایش خاص
بازنگری
مستقل رویکرد سازمان به مدیریت امنیت اطالعات و پیاده سازی آن (به
عنوان مثال اهداف کنترلی ،کنترل ها ،خط مش ی ها ،فرآیندها و
امنیت اطالعات
روشهای اجرایی امنیت اطالعات ) باید در فواصل زمانی طرح ریزی
شده یا هنگامیکه تغییرات عمده ای در پیاده سازی امنیت اطالعات
رخ دهد ،مستقال بازنگری شود .
طرف های بیرونی
مقصود :حفظ و نگهداری امنیت اطالعات و امکانات پردازش اطالعات سازمان که در
دسترس طرفهای بیرونی قرار داشته یا توسط ایشان پردازش یا مدیریت شده یا با آنها
مبادله می شوند
شناسایی مخاطرات مخاطرات اطالعات و امکانات پردازش اطالعات سازمان ناش ی از
مرتبط با طرف های فرآیندهای کسب و کار مرتبط با طرف های بیرونی ،باید پیش از
اعطای دسترس ی ،شناسایی شده و کنترل های مناسب ،پیاده سازی
بیرونی
شوند .
نشانی دهی امنیت تمام الزامات امنیتی شناسایی شده ،پیش از اعطای دسترس ی
هنگام سر و کار اطالعات یا اموال سازمان به مشتری ،باید نشانی دهی شوند .
داشتن با مشتریان
نشانی دهی امنیت در توافقنامه های منعقده با اشخاص ثالثی که با اعطای دسترس ی ،
های پردازش کردن ،تبادل یا مدیریت کردن اطالعات یا امکانات پردازش
توافقنامه
اطالعات سازمان ،یا اضافه کردن محصوالت یا خدمات به امکانات
شخص ثالث
پردازش اطالعات ،سرو کار دارند ،باید تمامی الزامات امنیتی مرتبط
را پوشش دهند .
شناسایی مخاطرات
-1شناسایی دارایی های واقع در دامنه سیستم مدیریت امنیت اطالعات و مالکان آنها
-2شناسایی تهدیدهای متوجه آن دارایی ها
-3شناسایی آسیب پذیری هایی که ممکن است توسط تهدیدها ،نمود پیدا کنند .
-4شناسایی آسیب هایی که ممکن است با از دست دادن محرمانگی ،یکپارچگی و دسترس پذیری
،متوجه دارایی ها شوند .
مدیریت دارایی
مسئولیت دارایی ها
مقصود :دستیابی و نگهداری حفاظت مناسب از دارایی های سازمانی
سیاهه اموال
تمامی دارایی ها باید به وضوح شناسایی شده و سیاهه ای از تمام
دارایی های مهم ،تنظیم و نگهداری شود .
مالکیت دارایی ها
تمامی اطالعات و دارایی های مرتبط با امکانات پردازش اطالعات ،
باید در تملک بخش معینی از سازمان باشد .
استفاده پسندیده از باید قواعدی برای استفاده پسندیده از اطالعات و دارایی های
مرتبط با امکانات پردازش اطالعات ،شناسایی ،مدون و پیاده سازی
دارایی ها
شوند .
مدیریت دارایی
طبقه بندی اطالعات
مقصود :حصول اطمینان از اینکه اطالعات ،به سطح حفاظتی مناسبی رسیده اند .
راهنمای اطالعات باید با توجه به ارزش آن ،الزامات قانونی ،حساسیت و
خطوط
بحرانی بودن برای سازمان ،طبقه بندی شوند .
طبقه بندی
عالمت گذاری و برای عالمت گذاری و اداره کردن اطالعات ،باید مجموعه مناسبی از
اداره کردن اطالعات روش های اجرایی با توجه به طرح طبقه بندی پذیرفته شده سازمان
،ایجاد و پیاده سازی شوند .
تحلیل و ارزیابی مخاطرات
-1برآورد تاثیرات کسب و کار ،که ممکن است از نقیصه های امنیتی حاصل
شوند ،بر سازمان ،با توجه به پیامدهای از دست دادن محرمانگی ،یکپارچگی یا
دسترس پذیری دارایی ها .
-2برآورد واقع گرایانه احتمال بروز نقیصه های امنیتی ،با در نظر گرفتن تهدیدها
و آسیب پذیری های متداول ،و آسیب های وابسته به این دارایی ها ،و کنترل
هایی که در حال حاضر پیاده سازی شده اند .
-3تخمین سطوح مخاطرات
-4تعیین اینکه مخاطرات در حد قابل قبول هستند یا نیازمند برطرف سازی ،با
استفاده از معیارهای پذیرش مخاطرات ایجاد شده می باشند .
مدیریت ارتباطات و عملیات
تبادل اطالعات
مقصود :حفظ امنیت اطالعات و نرم افزار مبادله شده در درون یک سازمان و با هر موجودیت
بیرونی
خط مش ی ها و روش برای حفاظت تبادل اطالعات بواسطه استفاده از تمام انواع امکانات
های اجرایی تبادل ارتباطی ،باید خط مش ی ها ،روش های اجرایی و کنترل های تبادل رسمی
ایجاد شوند .
اطالعات
توافقنامه های تبادل
برای تبادل اطالعات و نرم افزار مابین سازمان و طرف های بیرونی ،باید
توافق نامه هایی ایجاد شوند .
محیطهای ذخیره سازی محیط های ذخیره سازی حاوی اطالعات باید در هنگام حمل و نقل خارج از
فیزیکی ،حین حمل و مرزهای فیزیکی سازمان ،در برابر دسترس ی غیر مجاز ،استفاده نابجا یا
صدمه ،محافظت شوند .
نقل
مدیریت ارتباطات و عملیات
تبادل اطالعات
مقصود :حفظ امنیت اطالعات و نرم افزار مبادله شده در درون یک سازمان و با هر موجودیت
بیرونی
پیام رسانی الکترونیکی
اطالعات مورد بحث در پیام رسانی الکترونیکی باید به صورت مناسبی
حفاظت شوند .
سیستم های اطالعاتی به منظور حفاظت اطالعات مربوط به اتصاالت درونی سیستم های
اطالعاتی کسب و کار ،خط مش ی ها و روش های اجرایی باید ایجاد و پیاده
کسب و کار
سازی شوند .
مدیریت ارتباطات و عملیات
خدمات تجارت الکترونیک
مقصود :حصول اطمینان از امنیت خدمات تجارت الکترونیک و استفاده ایمن از آنها
تجارت الکترونیک
اطالعات مورد بحث در تجارت الکترونیک که از شبکه های عمومی عبور
می کنند ،باید در برابر فعالیتهای کاله برداری ،مناقشات در قرارداد ،و
افشاء و دستکاری غیر مجاز ،محافظت شوند .
داد و ستدهای بر خط اطالعات مورد بحث در داد و ستد های بر خط (متصل و مستقیم) ،باید
به منظور پیشگیری از انتقال ناقص ،مسیریابی اشتباه ،تغییر یافتن غیر
(متصل و مستقیم)
مجاز پیغام ،افشای غیر مجاز ،بازگرداندن یا تکرار غیر مجاز پیغام ،
حفاظت شوند .
اطالعات در دسترس یکپارچگی اطالعاتی که در یک سیستم در دسترس عموم ،قابل حصول
است ،باید به منظور پیشگیری از دستکاری غیر مجاز ،محافظت شود .
عموم
اقدامات ممکن برای برطرف سازی مخاطرات
-1به کار گرفتن کنترل های مناسب
-2پذیرش مخاطرات به صورت آگاهانه و هدفمند ،مشروط بر اینکه به وضوح ،خط مش ی های
سازمان و معیار پذیرش مخاطرات را برآورده سازند .
-3اجتناب از مخاطرات
-4انتقال مخاطرات کسب و کار به طرف های دیگر ،به عنوان مثال بیمه گذاران ،تامین کنندگان
اجزاء بیانیه کاربست پذیری
-1اهداف کنترلی و کنترلهای برگزیده و دالیل انتخاب آنها
-2اهداف کنترلی و کنترل هایی که در حال حاضر پیاده سازی شده اند
-3کنارگذاری هر یک از اهداف کنترلی و کنترل های آن و توجیه کنارگذاری آنها
بیانیه کاربست پذیری ،از تصمیمات اتخاذ شده در خصوص برطرف سازی مخاطرات ،یک جمع
بندی ارائه می دهد .توجیهات کنارگذاری ،بررس ی مضاعفی را فراهم می کند که هیچ کنترلی ،
سهوا از قلم نیافتاده باشد .
پیاده سازی و اجرای سیستم
-1قاعده مند کردن یک طرح برطرف سازی مخاطرات ،به منظور مدیریت کردن مخاطرات امنیت
اطالعات ،که اقدام مدیریتی مناسب ،منابع ،مسئولیت ها و اولویت ها را شناسایی کند .
-2پیاده سازی طرح برطرف سازی مخاطرات به منظور دستیابی به اهداف کنترلی شناسایی شده ،
که دربرگیرنده مالحظات مالی و تخصیص نقش ها و مسئولیت ها باشد .
-3پیاده سازی کنترل های برگزیده شده ،به منظور برآورده سازی اهداف کنترلی
-4تعریف چگونگی سنجش اثربخش ی کنترل ها یا گروهی از کنترل های انتخاب شده و تعیین اینکه
این اندازه گیری ها ،چگونه برای برآورد اثربخش ی کنترل ها ،به منظور ارائه نتایج قابل قیاس و
تجدید پذیر ،مورد استفاده قرار گرفته اند .
مدیریت تداوم کسب و کار
جنبه های امنیت اطالعات مدیریت تداوم کسب و کار
مقصود :خنثی کردن وقفه های فعالیت های کسب و کار و حفاظت از فرآیندهای بحرانی کسب و کار در برابر
اثرات ناش ی از خرابی های عمده سیستم های اطالعاتی یا سوانح و حصول اطمینان از سرگیری به موقع آنها
لحاظ کردن امنیت باید فرآیند مدیریت شده ای به منظور تداوم کسب و کار در سراسر سازمان ،
اطالعات در فرآیند ایجاد و نگهداری شود که الزامات امنیت اطالعات مورد نیاز تداوم کسب و کار
مدیریت تداوم کسب و سازمان را نشانی دهی کند .
کار
تداوم کسب و کار و وقایعی که می توانند موجب وقفه در فرآیندهای کسب و کار شوند ،باید با توجه
به احتمال بروز و آسیب ناش ی از چنین وقفه هایی و پیامدهای آنها بر امنیت
برآورد مخاطرات
اطالعات ،شناسایی شوند .
مدیریت تداوم کسب و کار
جنبه های امنیت اطالعات مدیریت تداوم کسب و کار
مقصود :خنثی کردن وقفه های فعالیت های کسب و کار و حفاظت از فرآیندهای بحرانی کسب و کار در برابر
اثرات ناش ی از خرابی های عمده سیستم های اطالعاتی یا سوانح و حصول اطمینان از سرگیری به موقع آنها
ایجاد و پیاده سازی طرح در پی وقفه یا بروز نقص در فرآیندهای بحرانی کسب و کار ،به منظور نگهداری یا
های تداوم دربرگیرنده از سرگیری عملیات و اطمینان از دسترس پذیری اطالعات در سطح و مقیاس های
زمانی مورد نیاز ،باید طرح هایی ایجاد و پیاده سازی شوند .
امنیت اطالعات
چارچوب طرح ریزی تداوم به منظور حصول اطمینان از سازگار بودن تمامی طرح ها ،نشانی دهی بدون
تناقض الزامات امنیت اطالعات ،و شناسایی اولویت های آزمایش و نگهداری ،یک
کسب و کار
چارچوب واحد از طرح های تداوم کسب .کار باید ایجاد و نگهداری شود
آزمایش ،نگهداری و طرح های تداوم کسب و کار ،به منظور حصول اطمینان از اینکه به روز و موثر
ارزیابی مجدد طرح های هستند ،باید به طور منظم مورد آزمایش قرار گرفته و بهنگام سازی شوند
تداوم کسب و کار
پیاده سازی و اجرای سیستم
-5پیاده سازی برنامه های آموزش ی و آگاه سازی
-6مدیریت عملیات سیستم مدیریت امنیت اطالعات
-7مدیریت منابع برای سیستم مدیریت امنیت اطالعات
-8پیاده سازی روشهای اجرایی و دیگر کنترل هایی که قادر به توانمند ساختن آشکارسازی
سریع وقایع امنیتی و پاسخ دهی به حوادث امنیتی باشند
دالیل پایش و بازنگری ISMS
-1تشخیص سریع خطاها در نتایج پردازش
-2شناسایی سریع نقض ها و حوادث امنیتی موفق و ناتمام
-3قادر ساختن مدیریت در تشخیص اینکه فعالیتهای امنیتی سپرده شده به افراد یا پیاده سازی
شده بوسیله فناوری اطالعات ،آنگونه که انتظار می رود ،انجام می شوند .
-4کمک در تشخیص وقایع امنیتی و از آن طریق ،پیشگیری از حوادث امنیتی بوسیله استفاده از
نشانگرها
-5تعیین اینکه اقدامات صورت گرفته برای رفع نقض امنیتی ،موثر بوده است .
دالیل بازنگری و شناسایی سطح قابل قبول مخاطرات
-1تغییرات در سازمان
-2تغییر در فناوری
-3تغییر اهداف و فرآیندهای کسب و کار
-4تهدیدهای شناسایی شده
-5اثربخش ی کنترل های پیاده سازی شده
-6رویدادهای برونی همانند تغییرات در فضای قانونی یا آئین نامه ای ،تغییر در تعهدات قراردادی
،و تغییرات در شرایط اجتماعی
نحوه پایش و بازنگری سیستم ISMS
الف -اجرای روش های اجرایی پایش و دیگر کنترل ها
ب -تعهد بازنگری قاعده مند اثربخش ی سیستم مدیریت امنیت اطالعات (شامل برآورده سازی خط
مش ی و اهداف سیستم مدیریت امنیت اطالعات ،و بازنگری کنترل های امنیتی) با توجه به نتایج
ممیزی های امنیتی ،حوادث ،نتایج اندازه گیری های اثربخش ی ،پیشنهادها و بازخورهای تمامی
طرف های ذینفع
ج -سنجش اثربخش ی کنترل ها به منظور تصدیق اینکه الزامات امنیتی ،برآورده شده اند .
د -بازنگری برآوردهای مخاطرات در فواصل زمانی طرح ریزی شده و بازنگری مخاطرات باقیمانده و
شناسایی سطح قابل قبول مخاطرات
ه -انجام ممیزی های داخلی سیستم مدیریت امنیت اطالعات در فواصل زمانی طرح ریزی شده
نحوه پایش و بازنگری سیستم ISMS
و -تعهد به بازنگری مدیریت قاعده مند سیستم مدیریت امنیت اطالعات ،به منظور حصول
اطمینان از متناسب باقی ماندن دامنه و اینکه بهبودها در فرآیند سیستم مدیریت امنیت اطالعات ،
شناسایی شده اند .
ز -بروز آوری طرح های امنیتی با در نظر گرفتن یافته های فعالیت های پایش و بازنگری
ح – ثبت اقدامات و وقایعی که می توانند بر اثربخش ی یا کارایی سیستم مدیریت امنیت اطالعات ،
تاثیر شدید بگذارند .
مدیریت ارتباطات و عملیات
پایش
مقصود :تشخیص فعالیت های غیر مجاز پردازش اطالعات
واقعه نگاری ممیزی
سوابق وقایع ممیزی مشتمل بر فعالیتهای کاربر ،استثناء ها و وقایع امنیت
اطالعات ،باید برای یک بازه زمانی توافق شده ،ایجاد و نگهداری شوند تا
در رسیدگی های آتی و پایش کنترل دستی ،کمک نماید .
پایش کاربرد سیستم
روش های اجرایی برای پایش کاربرد امکانات پردازش اطالعات ،باید ایجاد
شده و نتایج فعالیت های پایش ،به طور منظم ،بازنگری شوند .
حفاظت از اطالعات امکانات واقعه نگاری و اطالعات ثبت شده وقایع ،باید در برابر دسترس ی
پنهانی و غیر مجاز ،حفاظت شوند .
ثبت شده وقایع
مدیریت ارتباطات و عملیات
پایش
مقصود :تشخیص فعالیت های غیر مجاز پردازش اطالعات
ثبت وقایع متولی وقایع فعالیت های متولی سیستم و متصدی سیستم باید ثبت شوند .
سیستم و متصدی
واقعه نگاری خرابی
وقایع خرابی ها باید ثبت شده ،تحلیل شده و اقدام مناسبی انجام شود
هم زمان سازی ساعت
ساعت های تمامی سیستم های پردازش اطالعات مرتبط در درون یک
سازمان یا دامنه امنیتی ،باید با یک منبع زمانی دقیق توافق شده ،
همزمان شوند .
مدیریت حوادث امنیت اطالعات
گزارش دهی وقایع و ضعف های امنیت اطالعات
مقصود :حصول اطمینان از اینکه وقایع و ضعف های امنیت اطالعات مربوط به سیستم های اطالعاتی ،به
شیوه ای به اطالع برسد که اجازه اقدام اصالحی بهنگام را بدهد .
گزارش دهی وقایع امنیت وقایع امنیت اطالعات باید در کوتاهترین زمان ممکن ،از طریق مجاری مدیریتی
مناسب ،گزارش شوند .
اطالعات
گزارش دهی ضعف های تمامی کارکنان ،پیمانکاران و کاربران شخص ثالث سیستم ها و خدمات اطالعاتی ،
باید نسبت به یادداشت و گزارش دهی هر ضعف امنیتی مشاهده شده یا مورد
امنیتی
سوء ظن در سیستم ها یا خدمات ،ملزم شوند .
مدیریت حوادث امنیت اطالعات
مدیریت حوادث و بهبودهای امنیت اطالعات
مقصود :حصول اطمینان از اینکه رویکردی استوار و موثر برای مدیریت حوادث امنیت اطالعات ،بکار گرفته
شده است .
مسئولیت ها و روش های به منظور حصول اطمینان از یک پاسخ سریع ،موثر و منظم به حوادث امنیت
اطالعات ،مسئولیت های مدیریتی و روش های اجرایی باید ایجاد شوند .
اجرایی
یادگیری از حوادث امنیت برای اینکه نوع ،حجم و هزینه های حوادث امنیتی ،قابل اندازه گیری و پایش
باشند ،باید ساز و کارهای الزم ایجاد شوند .
اطالعات
گردآوری شواهد
هنگامیکه پیگرد علیه یک فرد یا سازمان ،پس از یک حادثه امنیت اطالعات ،
منجر به اقدام قانونی (اعم از مدنی یا جنایی) می شود ،شواهد باید منطبق با
قواعد اقامه شواهد در حوزه های قضایی مرتبط ،گردآوری ،نگهداری و ارائه
شوند .
نحوه نگهداری و بهبود سیستم ISMS
الف -پیاده سازی بهبودهای شناسایی شده در سیستم مدیریت امنیت اطالعات
ب -انجام اقدامات اصالحی و پیشگیرانه مناسب و بکاربستن دروس آموخته شده از تجارب امنیتی
دیگر سازمان ها و خود سازمان
ج -انتقال اطالعات مربوط به اقدامات و بهبودها ،به تمامی طرف های ذینفع ،با سطحی از
جزئیات متناسب با شرایط محیطی و در صورت لزوم ،توافق در مورد چگونگی ادامه کار
د -اطمینان از اینکه بهبودها ،اهداف مورد نظرشان را حاصل می کنند .
اکتساب ،توسعه و نگهداری سیستم های اطالعاتی
الزامات امنیتی سیستم های اطالعاتی
مقصود :حصول اطمینان از اینکه امنیت ،یک جزء جدایی ناپذیر از سیستم های اطالعاتی است .
تحلیل و تعیین الزامات بیان نیازهای سازمان به سیستم های اطالعاتی جدید یا گسترش سیستم های
اطالعاتی موجود ،باید الزاماتی را به منظور اعمال کنترل های امنیتی ،
امنیتی
مشخص کند .
اکتساب ،توسعه و نگهداری سیستم های اطالعاتی
پردازش صحیح در برنامه های کاربردی
مقصود :پیشگیری از خطاها ،گم شدن ،دستکاری غیر مجاز یا استفاده نابجا از اطالعات در برنامه های
کاربردی
صحه گذاری داده های باید داده های ورودی به برنامه های کاربردی ،صحه گذاری شوند تا از صحت و
تناسب این داده ها اطمینان حاصل شود .
ورودی
کنترل پردازش های درونی به منظور تشخیص هر نوع خرابی اطالعات ناش ی از خطاهای پردازش ی یا اقدامات
عمدی ،باید در برنامه های کاربردی ،بررس ی هایی برای صحه گذاری صورت
پذیرند .
یکپارچگی پیغام
الزاماتی برای اطمینان از سندیت و حفاظت از یکپارچگی پیغام در برنامه های
کاربردی ،باید شناسایی شده و کنترل های مناسبی شناسایی و پیاده سازی شوند
صحه گذاری داده های به منظور حصول اطمینان از اینکه پردازش اطالعات ذخیره شده ،صحیح بوده و
شرایط مناسبی دارد ،داده های خروجی برنامه های کاربردی ،باید صحه گذاری
خروجی
شوند .
اکتساب ،توسعه و نگهداری سیستم های اطالعاتی
کنترل های رمز نگاری
مقصود :حفاظت از محرمانگی ،سندیت یا یکپارچگی اطالعات ،توسط مفاهیم رمز نگاری
خط مش ی استفاده از برای حفاظت از اطالعات ،باید یک خط مش ی استفاده از کنترل های رمز نگاری ،
کنترلهای رمزنگاری
ایجاد و پیاده سازی شود .
مدیریت کلید
به منظور پشتیبانی استفاده سازمان از فنون رمز نگاری ،باید یک سیستم مدیریت
کلید ایجاد شود .
اکتساب ،توسعه و نگهداری سیستم های اطالعاتی
امنیت پرونده های سیستم
مقصود :حصول اطمینان از امنیت پرونده های سیستم
کنترل
عملیاتی
نرم
افزارهای به منظور کنترل نصب نرم افزار بر روی سیستم های عملیاتی ،روش های اجرایی
باید ایجاد شوند .
حفاظت از داده های داده های آزمایش ی ،باید به دقت انتخاب شده ،و محافظت و کنترل شوند .
آزمایش ی سیستم
کنترل دسترس ی به کد دسترس ی به کد منبع برنامه ،باید محدود شود .
منبع برنامه
اکتساب ،توسعه و نگهداری سیستم های اطالعاتی
امنیت در فرآیندهای توسعه و پشتیبانی
مقصود :حفظ امنیت نرم افزار و اطالعات سیستم کاربردی
روش های اجرایی کنترل با استفاده از روش های اجرایی رسمی کنترل تغییر ،پیاده سازی تغییرات باید
کنترل شوند .
تغییر
بازنگری فنی نرم افزارهای در هنگام تغییر سیستم های عامل ،به منظور حصول اطمینان از عدم وجود تاثیر
کاربردی پس از تغییرات سوء بر عملیات یا امنیت سازمانی ،نرم افزارهای کاربردی حیاتی کسب و کار باید
بازنگری و آزمایش شوند .
سیستم عامل
محدود سازی در اعمال باید از دستکاری در بسته های نرم افزاری ،اجتناب شده ،محدود به تغییرات
تغییرات در بسته های نرم ضروری باشد ،و تمامی تغییرات باید به شدت کنترل شوند .
افزاری
اکتساب ،توسعه و نگهداری سیستم های اطالعاتی
امنیت در فرآیندهای توسعه و پشتیبانی
مقصود :حفظ امنیت نرم افزار و اطالعات سیستم کاربردی
نشت اطالعات
باید از فرصت های نشت اطالعات ،پیشگیری شود .
توسعه نرم افزار برون توسعه نرم افزار برون سپاری شده ،باید توسط سازمان ،نظارت و پایش شود
سپاری شده
اکتساب ،توسعه و نگهداری سیستم های اطالعاتی
مدیریت آسیب پذیری فنی
مقصود :کاهش مخاطرات منتج از سوء استفاده از آسیب پذیری های فنی منتشر شده .
کنترل آسیب پذیری های اطالعات بهنگام در خصوص آسیب پذیری های فنی سیستم های اطالعاتی مورد
استفاده ،باید کسب شده ،قرار گرفتن سازمان در معرض چنین آسیب پذیری
فنی
هایی ارزیابی شده ،و معیارهای مناسبی برای نشانی دهی مخاطرات مربوطه ،
برگزیده شوند .
الزامات مستند سازی
الف – بیانیه مدون شده خط مش ی مدیریت امنیت اطالعات و اهداف .
ب – دامنه سیستم مدیریت امنیت اطالعات
ج – روش های اجرایی و کنترل هایی در پشتیبانی از سیستم مدیریت امنیت اطالعات
د -تشریح متدولوژی برآورد مخاطرات
ه – گزارش برآورد مخاطرات
و -طرح برطرف سازی مخاطرات
ز -روش های اجرایی مدون شده مورد نیاز سازمان ،برای حصول اطمینان از موثر بودن طرح ریزی
،اجرا و کنترل فرآیندهای امنیت اطالعات و تشریح چگونگی سنجش اثربخش ی کنترل ها
ح -سوابقی که توسط استاندارد 27001الزام شده اند
ط – بیانیه کاربست پذیری
کنترل مستندات
برای تعریف اقدامات مدیریتی زیر یک روش اجرایی مدون باید ایجاد شود :
تصویب مستندات از نظر تناسب آنها ،پیش از انتشار بازنگری و به روز آوری مستندات ،بر حسب نیاز ،و تصویب مجدد مستندات حصول اطمینان از اینکه تغییرات و وضعیت ویرایش جاری مستندات ،مشخص شده اند . حصول اطمینان از اینکه ویرایشهای معتبر مستندات قابل اجرا در مکان استفاده ،دردسترس می باشند .
حصول اطمینان از اینکه مستندات خوانا ،و به سهولت قابل تشخیص باقی می مانند حصول اطمینان از اینکه مستندات در دسترس کسانی است که به آنها نیاز دارند ،و با توجهبه روشهای اجرایی بکار گرفته شده برای طبقه بندی آنها ،منتقل ،ذخیره و نهایتا امحاء می
شوند
کنترل مستندات
برای تعریف اقدامات مدیریتی زیر یک روش اجرایی مدون باید ایجاد شود :
حصول اطمینان از اینکه مستندات با منشاء برون سازمانی ،شناسایی شده اند . حصول اطمینان از اینکه توزیع مستندات ،تحت کنترل است . پیشگیری از استفاده ناخواسته از مستندات منسوخ -در صورتیکه به هر دلیلی گردآوری شوند ،به نحو مناسبی مورد شناسایی قرار می گیرند .
مدیریت ارتباطات و عملیات
روش های اجرایی عملیاتی و مسئولیت ها
مقصود :حصول اطمینان از کارکرد صحیح و امن امکانات پردازش اطالعات
روش های اجرایی روش های اجرایی عملیاتی ،باید مدون شده ،نگهداری شوند و در
عملیاتی مدون
دسترس تمام کاربرانی که به آنها نیاز دارند ،قرار بگیرند .
تغییر در امکانات و سیستم های پردازش اطالعات ،باید تحت کنترل
مدیریت تغییر
باشد .
به منظور کاهش فرصت های دستکاری غیرعمد یا غیر مجاز ،یا
تفکیک وظایف
استفاده نابجا از دارایی های سازمان ،باید وظایف و حدود
مسئولیت ها ،تفکیک شوند .
جداسازی امکانات امکانات توسعه ،آزمایش و اجرا ،باید به منظور کاهش مخاطرات
توسعه ،آزمایش و ناش ی از دسترس ی غیر مجاز یا تغییرات در سیستم عملیاتی ،تفکیک
شوند .
اجرا
مدیریت ارتباطات و عملیات
مدیریت تحویل خدمت شخص ثالث
مقصود :پیاده سازی و نگهداری سطح مناسب امنیت اطالعات و تحویل خدمت ،در راستای
توافقنامه های تحویل خدمت شخص ثالث
تحویل خدمت
باید اطمینان حاصل شود که کنترلهای امنیتی ،تعاریف خدمت و سطوح
تحویل مندرج در توافقنامه تحویل خدمت شخص ثالث ،پیاده سازی و
اجرا شده و توسط شخص ثالث نگهداری می شوند .
پایش و بازنگری خدمات ،گزارش ها و سوابق تهیه شده توسط شخص ثالث ،باید به
خدمات شخص ثالث صورت قاعده مند پایش و بازنگری شده ،و ممیزی ها باید به صورت
قاعده مند انجام شوند .
مدیریت تغییرات در تغییرات در ارائه خدمات ،شامل نگهداری و بهبود خط مش ی های امنیت
خدمات شخص ثالث اطالعات ،روش های اجرایی و کنترل های موجود ،باید با توجه به میزان
بحرانی بودن سیستم های کسب و کار و فرآیندهای مرتبط و برآورد مجدد
مخاطرات ،مدیریت شوند .
کنترل سوابق
سوابق بایستی ایجاد و نگهداری شده تا شواهد انطباق با الزامات و نیز اجرای موثر سیستم
مدیریت امنیت اطالعات ،فراهم گردد .آنها باید محافظت شده و تحت کنترل باشند .سیستم
مدیریت امنیت اطالعات باید به تمامی الزامات قانونی یا آئین نامه ای و تعهدات قراردادی مرتبط
،توجه داشته باشد .
سوابق بایستی خوانا و به سهولت قابل شناسایی و بازیابی باقی بمانند .کنترل های مورد نیاز
شناسایی ،انبارش ،حفاظت ،بازیابی ،مدت نگهداری و امحای سوابق ،بایستی مدون و پیاده
سازی شوند .
سوابق کارایی فرآیندها و کلیه حوادث امنیتی بارز مرتبط با سیستم مدیریت امنیت اطالعات ،باید
نگهداری شوند .
دفتر بازدیدکنندگان ،گزارش های ممیزی و فرم های تکمیل شده ،مجاز سازی دسترس ی ،مثالهایی
از سوابق هستند .
مدیریت ارتباطات و عملیات
نسخ پشتیبان
مقصود :حفظ یکپارچگی و دسترس پذیری اطالعات و امکانات پردازش اطالعات
ایجاد
اطالعات
پشتیبان
از نسخ پشتیبان از اطالعات و نرم افزار ،باید با توجه به خط مش ی توافق
شده نسخ پشتیبان ،به صورت منظم تهیه و آزمایش شوند .
تعهد مدیریت
تعهد مدیریت بایستی از طریق موارد زیر قابل اثبات باشد :
الف -ایجاد یک خط مش ی سیستم مدیریت امنیت اطالعات
ب -حصول اطمینان از اینکه اهداف و طرح های سیستم مدیریت امنیت اطالعات ،ایجاد شده
اند .
ج -ایجاد نقش ها و مسئولیت ها برای امنیت اطالعات
د -ارائه اطالعات الزم به سازمان درباره اهمیت برآورده سازی اهداف امنیت اطالعات و تطابق با
خط مش ی امنیت اطالعات ،مسئولیت هایش در قبال قانون و نیاز به بهبود مستمر
ه -فراهم آوری منابع کافی برای ایجاد ،پیاده سازی ،اجرا ،پایش ،بازنگری ،نگهداری و بهبود
سیستم مدیریت امنیت اطالعات
و -تصمیم گیری درباره معیاری برای پذیرش مخاطرات و سطوح قابل قبول مخاطرات
ز -حصول اطمینان از اینکه ممیزی های داخلی سیستم مدیریت امنیت اطالعات ،انجام می شوند
.
ح – انجام بازنگری های مدیریت سیستم مدیریت امنیت اطالعات
مدیریت منابع
منابع الزم برای موارد زیر باید تعیین و فراهم شوند :
الف – ایجاد ،پیاده سازی ،اجرا ،پایش ،بازنگری ،نگهداری و بهبود سیستم مدیریت امنیت
اطالعات
ب -حصول اطمینان از اینکه روش های اجرایی امنیت اطالعات ،الزامات کسب و کار را پشتیبانی
می کنند .
ج – شناسایی و نشانی دهی الزامات قانونی و آئین نامه ای و تعهدات امنیتی قراردادی
د -نگهداری امنیت در سطح مناسب ،از طریق بکارگیری صحیح تمامی کنترل های پیاده سازی شده
ه – انجام بازنگری ها در صورت لزوم و واکنش مناسب به نتایج این بازنگری ها
و -آنجا که الزم است ،بهبود اثربخش ی سیستم مدیریت امنیت اطالعات
امنیت فیزیکی و محیطی
نواحی امن
مقصود :پیشگیری از دسترس ی فیزیکی غیر مجاز ،خسارت و تعارض به ابنیه و اطالعات سازمان
حصارهای امنیتی (موانعی از قبیل دیوارها ،درهای ورودی کنترل شده با
حصار امنیت فیزیکی
کارت یا میزهای پذیرش با خدمه) باید برای حفاظت نواحی حاوی اطالعات
و امکانات پردازش اطالعات ،استفاده شوند .
کنترل های مداخل نواحی امن ،به منظور حصول اطمینان از اینکه فقط کارکنان مجاز ،
اجازه دسترس ی دارند ،باید توسط کنترل های ورودی مناسب ،حفاظت
فیزیکی
شوند .
ایمن سازی دفاتر ،امنیت فیزیکی برای دفاتر ،اتاق ها و امکانات ،باید طراحی و بکار گرفته
شود
اتاق ها و امکانات
امنیت فیزیکی و محیطی
نواحی امن
محافظت در برابر برای مقابله با خسارت ناش ی از آتش ،سیل ،زمین لرزه ،انفجار ،آشوب
تهدیدهای بیرونی و داخلی ،و شکل های دیگری از حوادث طبیعی یا مصنوعی ،باید حفاظت
فیزیکی طراحی و بکار گرفته شود .
محیطی
برای کار در نواحی امن ،باید حفاظت فیزیکی و خطوط راهنما ،طراحی و
کار در نواحی امن
بکار گرفته شوند .
دسترس ی عمومی ،نقاط دسترس ی از قبیل نواحی تحویل و بارگیری و سایر نقاطی که افراد غیر
نواحی تحویل و بارگیری مجاز ممکن است وارد ساختمان ها شوند ،باید تحت کنترل قرار گرفته و
در صورت امکان ،برای جلوگیری از دسترس ی غیر مجاز ،از امکانات
پردازش اطالعات ،مجزا شوند .
امنیت فیزیکی و محیطی
امنیت تجهیزات
مقصود :پیشگیری از اتالف ،زیان ،سرقت یا به خطر افتادن دارایی ها و ایجاد وقفه در فعالیت
های سازمان
استقرار و حفاظت تجهیزات باید (در مکان مناسب) مستقر یا محافظت شوند تا مخاطرات
ناش ی از تهدیدها و خطرات محیطی و فرصت های دسترس ی غیر مجاز ،
تجهیزات
کاهش یابند .
تجهیزات باید در برابر قطع برق و سایر اختالالت ناش ی از نقص های
امکانات پشتیبانی
امکانات پشتیبانی ،محافظت شوند .
کابل کش ی های برق و ارتباطات مورد استفاده برای انتقال داده یا
امنیت کابل کش ی
پشتیبانی از خدمات اطالعاتی ،باید در برابر قطع شدن یا وارد آمدن
خسارت ،محافظت شوند .
امنیت فیزیکی و محیطی
نگهداری تجهیزات
تجهیزات باید به منظور حصول اطمینان از تداوم دسترس پذیری و
یکپارچگی شان ،به درستی نگهداری شوند .
امنیت تجهیزات خارج برای تجهیزات خارج از محوطه ،باید با توجه به مخاطرات مختلف ناش ی
از انجام کار در خارج از ابنیه های سازمان ،امنیت برقرار شود .
از ابنیه
امحاء یا استفاده تمام اجزای تجهیزاتی که دارای رسانه ذخیره سازی می باشند ،باید به
مجدد از تجهیزات به منظور حصول اطمینان از اینکه هر داده حساس و نرم افزار دارای حق
امتیاز ،پیش از امحاء ،حذف شده یا به شیوه امنی جانویس ی شده ،
صورت ایمن
بررس ی شوند .
تجهیزات ،اطالعات یا نرم افزار ،نباید بدون مجوز قبلی ،از محوطه
خروج دارایی
خارج شوند .
مدیریت ارتباطات و عملیات
مدیریت امنیت شبکه
مقصود :حصول اطمینان از حفاظت اطالعات در شبکه ها و حفاظت از زیر ساخت پشتیبانی کننده
کنترل های شبکه
شبکه ها باید به منظور حفاظت در برابر تهدیدها و برای نگهداری امنیت
سیستم ها و برنامه های کاربردی که از شبکه استفاده می کنند (شامل
اطالعات در گردش) ،به میزان کفایت ،مدیریت و کنترل شوند.
امنیت خدمات شبکه
ویژگی های امنیتی ،سطوح خدمت ،و الزامات مدیریتی تمامی خدمات
شبکه ،باید شناسایی شده و در هر توافقنامه خدمات شبکه ،اعم از
اینکه این خدمات در داخل مهیا شده یا برون سپاری شده اند ،لحاظ
شوند .
مدیریت ارتباطات و عملیات
اداره کردن محیط های ذخیره سازی
مقصود :پیشگیری از افشاء ،دستکاری ،خروج یا تخریب غیر مجاز دارایی ها و وقفه در فعالیت های کسب و کار
مدیریت محیط
ذخیره سازی
جابجایی
های برای مدیریت محیط های ذخیره سازی قابل جابجایی ،باید روش های اجرایی ایجاد
قابل شوند .
امحای محیط های ذخیره محیط های ذخیره سازی که دیگر مورد نیاز نیستند ،باید با بکارگیری روش های
سازی
اجرایی رسمی ،به صورت امن و محافظت شده ،امحاء شوند .
روش های اجرایی باید روش های اجرایی جابجایی و انبارش اطالعات ،برای حفاظت این اطالعات در
برابر افشای غیر مجاز یا استفاده نابجا ،ایجاد شوند .
جابجایی اطالعات
امنیت مستندات سیستم
مستندات سیستم باید در برابر دسترس ی غیر مجاز ،حفاظت شوند .
آموزش ،آگاه سازی و صالحیت
موارد زیر باید به انجام برسد :
الف – تعیین صالحیت های الزم برای کارکنانی که کارهای تاثیر گذار بر سیستم امنیت اطالعات
انجام می دهند .
ب -فراهم آوری آموزش یا انجام فعالیت های دیگر (همانند استخدام افراد الیق ) به منظور
برآورده سازی این نیازها
ج -ارزیابی اثربخش ی اقدامات انجام شده
د -نگهداری سوابق مربوط به تحصیالت ،آموزش ،مهارت ها ،تجارب و شایستگی ها
سازمان همچنین باید اطمینان حاصل نماید که تمامی کارکنان مرتبط ،نسبت به ارتباط و اهمیت
فعالیت های امنیت اطالعات خود و نحوه مشارکت در دستیابی به اهداف سیستم مدیریت امنیت
اطالعات ،آگاه هستند .
کنترل دسترس ی
مدیریت دسترس ی کاربر
مقصود :حصول اطمینان از دسترس ی کاربر مجاز شده و پیشگیری از دسترس ی غیر مجاز به سیستم های
اطالعاتی
ثبت کاربر
برای اعطاء یا لغو دسترس ی به سیستم ها و خدمات اطالعاتی ،باید یک روش
اجرایی رسمی ثبت و حذف کاربر وجود داشته باشد .
مدیریت اختیارات ویژه
تخصیص و بکارگیری اختیارات ویژه ،باید محدود و کنترل شده باشد
مدیریت کلمه عبور کاربر تخصیص کلمات عبور ،باید از طریق یک فرآیند مدیریتی رسمی ،کنترل شود .
بازنگری حقوق دسترس ی مدیریت باید با استفاده از یک فرآیند رسمی ،حقوق دسترس ی کاربران را در
فواصل زمانی منظم ،بازنگری کند .
کاربر
کنترل دسترس ی
مسئولیت های کاربر
مقصود :پیشگیری از دسترس ی کاربر غیر مجاز ،و به خطر افتادن یا سرقت اطالعات و امکانات پردازش
اطالعات
استفاده از کلمه عبور
کاربران باید در انتخاب و بکارگیری کلمه عبور ،به تبعیت از شیوه های امنیتی
صحیح ،ملزم شوند .
تجهیزات بدون مراقبت کاربران باید اطمینان داشته باشند که تجهیزات بدون متصدی ،حفاظت
مناسبی دارند
کاربر
خط مش ی میز پاک و یک خط مش ی میز پاک برای کاغذها و محیط های ذخیره سازی قابل جابجایی و
یک خط مش ی صفحه پاک برای امکانات پردازش اطالعات ،باید مورد پذیرش
صفحه پاک
واقع شوند .
کنترل دسترس ی
کنترل دسترس ی به شبکه
مقصود :پیشگیری از دسترس ی غیر مجاز به خدماتی که تحت شبکه ارائه می شوند .
خط مش ی استفاده از کاربران باید تنها به خدماتی که مشخصا استفاده از آنها برایشان مجاز شده ،
دسترس ی داشته باشند .
خدمات شبکه
تصدیق هویت کاربر برای برای کنترل دسترس ی کاربران راه دور ،باید روشهای مناسب تصدیق هویت بکار
گرفته شوند .
اتصاالت بیرونی
شناسایی تجهیزات در شناسایی خودکار تجهیزات ،باید به عنوان وسیله ای برای تصدیق هویت
اتصاالت از مکان ها و تجهیزات مشخص ،در نظر گرفته شود .
شبکه ها
حفاظت از درگاه عیب دسترس ی فیزیکی و منطقی به درگاه های عیب یابی و پیکر بندی ،باید تحت
یابی و پیکر بندی راه دور کنترل باشد .
کنترل دسترس ی
کنترل دسترس ی به شبکه
مقصود :پیشگیری از دسترس ی غیر مجاز به خدماتی که تحت شبکه ارائه می شوند .
تفکیک در شبکه ها
گروه های خدمات اطالعاتی ،کاربران و سیستم های اطالعاتی ،باید در شبکه
ها تفکیک شوند .
کنترل اتصال به شبکه برای شبکه های اشتراکی ،به ویژه آنهایی که در محدوده های سازمان ،گسترش
می یابند ،قابلیت کاربران برای اتصال به شبکه ،باید در راستای خط مش ی
کنترل دسترس ی و الزامات برنامه های کاربردی کسب و کار ،محدود شود .
کنترل مسیر یابی در باید کنترل های مسیریابی برای شبکه ها پیاده سازی شوند ،تا اطمینان حاصل
شود که اتصاالت رایانه ای و جریان های اطالعاتی ،خط مش ی کنترل دسترس ی
شبکه
به برنامه های کاربردی کسب و کار را نقض نمی کنند .
کنترل دسترس ی
کنترل دسترس ی به سیستم عامل
مقصود :پیشگیری از دسترس ی غیر مجاز به سیستم های عامل .
روشهای اجرایی ورود دسترس ی به سیستم های عامل ،باید از طریق یک روش اجرایی ورود امن به
سیستم ،کنترل شود .
امن به سیستم
شناسایی و تصدیق تمامی کاربران باید یک شناسه یکتا (شناسه کاربر) برای استفاده شخص ی
خودشان داشته باشند و یک فن مناسب تصدیق هویت ،به منظور اثبات
هویت کاربر
هویت ادعا شده یک کاربر ،باید انتخاب شود .
سیستم مدیریت کلمه سیستم های مدیریت کلمات عبور ،باید تعاملی بوده و کیفیت کلمات عبور را
عبور
تضمین نمایند .
استفاده از برنامه های استفاده از برنامه های کمکی سیستم که ممکن است قادر به ابطال کنترل های
سیستم و برنامه کاربردی باشند ،باید محدود و به شدت کنترل شوند
کمکی سیستم
کنترل دسترس ی
کنترل دسترس ی به سیستم عامل
مقصود :پیشگیری از دسترس ی غیر مجاز به سیستم های عامل .
خروج زمانی از الیه الیه های ارتباطی غیر فعال باید پس از یک بازه زمانی تعریف شده برای غیر
فعال بودن ،بسته و قطع شوند .
ارتباطی
محدود
اتصال
سازی
زمان به منظور فراهم آوری امنیت بیشتر برای برنامه های کاربردی پرمخاطره ،باید
محدودیت هایی در زمان های اتصال اعمال گردد .
کنترل دسترس ی
کنترل دسترس ی به برنامه های کاربردی و اطالعات
مقصود :پیشگیری از دسترس ی غیر مجاز به اطالعات نگهداری شده در سیستم های کاربردی
محدود سازی دسترس ی مطابق با خط مش ی کنترل دسترس ی تعریف شده ،باید دسترس ی کاربران و
کارکنان پشتیبانی کننده به اطالعات و کارکردهای سیستم کاربردی ،محدود
به اطالعات
شود .
جدا سازی سیستم های سیستم های حساس باید یک محیط محاسباتی اختصاص ی (مجزا) ،داشته
باشند .
حساس
کنترل دسترس ی
محاسبه سیار و کار از راه دور
مقصود :حصول اطمینان از امنیت اطالعات در هنگام استفاده از امکانات محاسبه سیار و کار از راه دور
محاسبه و ارتباطات به منظور حفاظت در برابر مخاطرات بکارگیری امکانات محاسبه و ارتباطات
سیار ،باید یک خط مش ی رسمی ایجاد و معیارهای امنیتی مناسبی اختیار شوند .
سیار
کار از راه دور
برای فعالیت های کار از راه دور ،باید یک خط مش ی ،طرح های عملیاتی و
روش های اجرایی ،ایجاد و پیاده سازی شوند .
امنیت منابع انسانی
پیش از اشتغال
مقصود :حصول اطمینان از اینکه کارکنان ،پیمانکاران و کاربران شخص ثالث ،مسئولیت هایشان را درک کرده
و برای نقش های در نظر گرفته شده برای ایشان ،مناسب می باشند ،و به منظور کاهش مخاطرات سرقت ،
سوء استفاده یا استفاده نابجا از امکانات
نقش ها و مسئولیت ها
نقش ها و مسئولیت های امنیتی کارکنان ،پیمانکاران و کاربران شخص ثالث ،باید
با توجه به خط مش ی امنیت اطالعات سازمان ،تعریف و مدون شوند .
گزینش
برای تصدیق سوابق تمامی داوطلبین استخدام ،پیمانکاران ،و کاربران شخص ثالث
،باید بررس ی هایی با توجه به قوانین ،آئین نامه ها و اصول اخالقی مرتبط ،و
متناسب با الزامات کسب و کار ،طبقه بندی اطالعاتی که در دسترس قرار می گیرد و
مخاطرات دیده شده ،انجام شوند .
ضوابط
استخدام
و
شرایط کارکنان ،پیمانکاران و کاربران شخص ثالث ،باید به عنوان بخش ی از تعهد قراردادی
شان ،شرایط و ضوابط قرارداد استخدامیشان را که باید بیانگر مسئولیت های
ایشان و سازمان در قبال امنیت اطالعات باشد ،قبول و امضاء نمایند .
امنیت منابع انسانی
حین خدمت
مقصود :حصول اطمینان از اینکه تمامی کارکنان ،پیمانکاران و کاربران شخص ثالث ،از تهدیدها و نگرانی های
امنیت اطالعات ،مسئولیت ها و تعهداتشان آگاه بوده و در انجام کارهای روزمره خود و به منظور کاهش
مخاطرات ناش ی از خطای انسانی ،برای پشتیبانی از خط مش ی امنیتی سازمان ،آماده شده اند .
مسئولیت های مدیریت
مدیریت باید کارکنان ،پیمانکاران و کاربران شخص ثالث را به بکارگیری امنیت ،با
توجه به خط مش ی ها و روش های اجرایی ایجاد شده سازمان ،الزام نماید .
آگاه سازی ،تحصیل و نمامی کارکنان سازمان و در صورت لزوم ،پیمانکاران و کاربران شخص ثالث ،آنجا
که به کارکرد شغلی ایشان مرتبط باشد ،باید در خصوص خط مش ی ها و روش
آموزش امنیت اطالعات
های اجرایی سازمان ،به صورت مناسب ،آموزش آگاه سازانه دیده و به طور منظم
،به روز شوند .
فرآیند انضباطی
یک فرآیند انضباطی رسمی ،باید برای کارکنانی که مرتکب یک نقض امنیتی می
شوند ،وجود داشته باشد .
امنیت منابع انسانی
خاتمه استخدام یا تغییر در شغل
مقصود :حصول اطمینان از اینکه کارکنان ،پیمانکاران و کاربران شخص ثالث ،به روش ی ضابطه مند سازمان را
ترک یا تغییر شغل می دهند .
مسئولیت های خاتمه برای خاتمه دادن به خدمت یا تغییر شغل ،باید مسئولیت هایی به وضوح تعریف و
تخصیص داده شوند .
خدمت
عودت دارایی ها
تمامی کارکنان ،پیمانکاران و کاربران شخص ثالث ،باید تمامی دارایی های سازمان
را که در اختیارشان می باشد ،به محض خاتمه استخدام ،قرارداد یا توافقنامه
شان ،به سازمان عودت دهند .
حذف حقوق دسترس ی
حقوق دسترس ی تمامی کارکنان ،پیمانکاران و کاربران شخص ثالث به اطالعات و
امکانات پردازش اطالعات ،باید به محض خاتمه استخدام ،قرارداد یا توافقنامه
شان ،حذف شده یا به محض تغییر شغل ،تنظیم شود .
ممیزی داخلی
سازمان باید ممیزی های داخلی سیستم مدیریت امنیت اطالعات را در فواصل زمانی طرح ریزی
شده انجام دهد تا معین کند که آیا اهداف کنترلی ،کنترل ها ،فرآیندها و روش های اجرایی
سیستم مدیریت امنیت اطالعات :
الف – با الزامات این استاندارد و مقررات و قوانین مرتبط انطباق دارند .
ب -با الزامات شناسایی شده امنیت اطالعات ،انطباق دارند .
ج -به طرز اثربخش ی پیاده سازی شده و نگهداری می شوند
د – آنگونه که انتظار می رود ،اجرا می شوند .
یک برنامه ممیزی ،با در نظر گرفتن وضعیت و اهمیت فرآیندها و حیطه های مورد ممیزی و
همچنین نتایج ممیزی های قبلی ،باید طرح ریزی گردد .
تذکرات مهم در ممیزی
-
-
معیار ،دامنه ،تواتر و روشهای ممیزی باید تعریف گردند .
انتخاب ممیزان و انجام ممیزی ها ،باید واقع بینی و بی طرفی فرآیند ممیزی را تضمین نماید .
ممیزان نباید کار خودشان را ممیزی نمایند .
مسئولیت ها و الزامات برای طرح ریزی و انجام ممیزی ها ،و گزارش نتایج و نگهداری سوابق
باید در یک روش اجرایی مدون تعریف شده باشند .
مدیر مسئول حیطه ای که مورد ممیزی قرار می گیرد ،باید از این بابت که اقدامات الزم برای
رفع عدم انطباقهای یافته شده و علل آنها ،بدون تاخیر بی مورد انجام می شوند ،اطمینان
حاصل نماید .
فعالیت های پیگیری باید شامل تصدیق اقدامات انجام شده و گزارش دهی نتایج تصدیق
باشد .
انطباق
انطباق با خط مش ی ها و استانداردهای امنیتی ،و انطباق فنی
مقصود :حصول اطمینان از انطباق سیستم ها با خط مش ی و استانداردهای امنیتی سازمانی
انطباق با خط مش ی ها و برای حصول انطباق با خط مش ی ها و استانداردهای امنیتی ،مدیران باید از اینکه
تمامی روشهای اجرایی امنیتی ،در حیطه مسئولیت شان ،به درستی اجرا می
استانداردهای امنیتی
شوند ،اطمینان حاصل نمایند .
به منظور انطباق با استانداردهای پیاده سازی امنیت ،باید سیستم های
بررس ی انطباق فنی
اطالعاتی به طور منظم بررس ی شوند .
انطباق
مالحظات ممیزی سیستم های اطالعاتی
مقصود :بیشینه کردن اثربخش ی و کمینه کردن اختالل در فرآیند ممیزی سیستم های اطالعاتی
کنترل های ممیزی الزامات و فعالیتهای ممیزی مرتبط با بررس ی های سیستم های عملیاتی ،باید به
دقت طرح ریزی و مورد توافق قرار گیرند تا مخاطرات ناش ی از توقف در فرآیندهای
سیستم های اطالعاتی
کسب و کار ،کمینه شوند .
حفاظت از ابزارهای به منظور پیشگیری از هر گونه استفاده نابجا یا به خطر افتادن محتمل ،دسترس ی
ممیزی سیستم های به ابزارهای ممیزی سیستم های اطالعاتی ،باید محافظت شده باشد .
اطالعاتی
بازنگری مدیریت
مدیریت باید سیستم مدیریت امنیت اطالعات سازمان را در فواصل زمانی طرح ریزی شده (حداقل
یک بار در سال ) ،مورد بازنگری قرار دهد تا از تداوم تناسب ،کفایت و اثربخش ی آن ،اطمینان
حاصل نماید .
این بازنگری باید بررس ی موقعیتهای بهبود و نیاز به اعمال تغییرات در سیستم مدیریت امنیت
اطالعات ،از جمله خط مش ی و اهداف امنیت اطالعات را شامل گردد .نتایج بازنگری ها باید به
وضوح مدون شده و سوابق آن نگهداری شوند .
ورودیهای بازنگری مدیریت
الف -نتایج ممیزی ها و بازنگری های سیستم مدیریت امنیت اطالعات
ب -بازخورهای طرف های ذینفع
ج -فنون ،محصوالت یا روشهای اجرایی که می توانند برای بهبود اثربخش ی و کارایی سیستم
مدیریت امنیت اطالعات در سازمان ،مورد استفاده قرار گیرند .
د -وضعیت اقدامات اصالحی و پیشگیراته
ه -آسیب پذیری ها یا تهدیداتی که در برآورد مخاطرات قبلی ،به طور مناسب نشانی دهی نشده
اند .
و -نتایج حاصل از اندازه گیری های اثربخش ی
ز -اقدامات پیگیرانه از بازنگری های قبلی مدیریت
ح -کلیه تغییراتی که می توانند سیستم مدیریت امنیت اطالعات را تحت تاثیر قرار دهند
ط -توصیه هایی برای بهبود
خروجیهای بازنگری مدیریت
الف -بهبود اثربخش ی سیستم مدیریت امنیت اطالعات
ب -بروز آوری برآورد مخاطرات و طرح برطرف سازی مخاطرات
ج -اصالح روش های اجرایی و کنترل هایی که بر امنیت اطالعات اثر می گذارند ،در صورت لزوم
پاسخ به رویدادهای درونی و بیرونی که ممکن است به سیستم مدیریت امنیت اطالعات آسیب
برسانند
د -نیاز به منابع
ه – بهبود اینکه چگونه اثربخش ی کنترل ها اندازه گیری شده اند .
تغییراتی که باعث آسیب سیستم می شوند
الف -الزامات کسب و کار
ب -الزامات امنیتی
ج -فرآیندهای کسب و کار موثر در الزامات موجود کسب و کار
د – الزامات آئین نامه ای یا قانونی
ه – تعهدات قراردادی
و -سطوح مخاطرات و /یا معیاری برای پذیرش مخاطرات
بهبود مستمر
سازمان باید به طور مستمر ،اثربخش ی سیستم مدیریت امنیت اطالعات را از
طریق بکارگیری خط مش ی امنیت اطالعات ،اهداف امنیت اطالعات ،نتایج
ممیزی ،تجزیه و تحلیل رویدادهای پایش شده ،اقدامات اصالحی و پیشگیرانه و
بازنگری مدیریت ،بهبود بخشد .
انطباق
انطباق با الزامات قانونی
مقصود :پرهیز از نقض هر نوع قانون ،مقررات ،تعهدات آئین نامه ای یا قراردادی و هر الزام امنیتی
شناسایی قوانین قابل تمامی مقررات ،الزامات آئین نامه ای و قراردادی مرتبط و رویکرد سازمان نسبت
به برآورده سازی این الزامات ،باید برای هر سیستم اطالعاتی و سازمان ،به
اجرا
وضوح تعریف شده ،مدون شده و به روز نگهداشته شوند .
حقوق دارایی فکری به منظور حصول اطمینان از انطباق با الزامات قانون گزار ،الزامات آئین نامه ای
و قراردادی در استفاده از کاالیی که ممکن است دارای حقوق دارایی فکری باشد
()IPR
،و در هنگام استفاده از محصوالت نرم افزاری دارای حقوق تجاری ،روش های
INTELLECTUAL
اجرایی مناسب ،باید پیاده سازی شوند .
PROPERTY
RIGHTS
انطباق
انطباق با الزامات قانونی
مقصود :پرهیز از نقض هر نوع قانون ،مقررات ،تعهدات آئین نامه ای یا قراردادی و هر الزام امنیتی
حفاظت
سازمانی
از
سوابق سوابق مهم ،باید با توجه به مقررات ،الزامات آئین نامه ای ،قراردادی و کسب
و کار ،در برابر گم شدن ،تخریب و تحریف ،محافظت شوند .
حفاظت داده ها و حریم حفاظت داده ها و حریم خصوص ی باید آنگونه که در قوانین و آئین نامه های
اطالعات مرتبط ،و در صورت قابلیت اعمال ،شرایط قراردادی ،الزام شده ،تضمین
خصوص ی
شود .
شخص ی
پیشگیری از استفاده کاربران باید از بکارگیری امکانات پردازش اطالعات برای مقاصد غیر مجاز ،
نابجا از امکانات پردازش بازداشته شوند .
اطالعات
قواعد
رمزنگاری
کنترل
های کنترل های رمز نگاری در انطباق با تمامی توافقنامه ها ،قوانین و آئین نامه های
مرتبط ،بکار گرفته شوند .
اقدام اصالحی
سازمان باید اقدامی را برای رفع علت عدم انطباق ها با الزامات سیستم مدیریت امنیت اطالعات
،به منظور پیشگیری از رخداد مجدد آنها ،به عمل آورد .روش اجرایی مدون برای اقدام اصالحی
،باید الزامات ذیل را تعریف نمایند :
الف – شناسایی عدم انطباقها
ب – تعیین علل عدم انطباقها
ج -ارزیابی نیاز به اقداماتی که اطمینان دهند ،عدم انطباقها ،مجددا رخ نمی دهند .
د -تعیین و انجام اقدام اصالحی مورد نیاز
ه -ثبت سوابق نتایج اقدام انجام شده
و – بازنگری اقدام اصالحی انجام شده
اقدام پیشگیرانه
سازمان باید اقدامی را برای رفع علت عدم انطباقهای بالقوه با الزامات سیستم مدیریت امنیت
اطالعات ،به منظور پیشگیری از رخداد آنها ،تعیین کند .اقدامات پیشگیرانه باید متناسب با تاثیر
مشکالت بالقوه باشند .روش اجرایی مدون برای اقدام پیشگیرانه ،باید الزامات ذیل را تعریف
نماید :
الف – شناسایی عدم انطباقهای بالقوه و علل آنها
ب -ارزیابی نیاز به اقدامی که از رخداد عدم انطباقها ،پیشگیری می کند .
ج -تعیین و پیاده سازی اقدام پیشگیرانه مورد نیاز
د -ثبت سوابق نتایج اقدام انجام شده
ه -بازنگری اقدام پیشگیرانه انجام شده
تذکرات
-
سازمان باید مخاطرات تغییر یافته و الزامات اقدام پیشگیرانه معطوف به مخاطراتی که به
صورت بارز تغییر یافته اند را شناسایی نماید .
اولویت اقدامات پیشگیرانه باید بر اساس نتایج برآورد مخاطرات تعیین شود
اقدام برای پیشگیری از عدم انطباق ،غالبا با ارزش تر و موثرتر از اقدام اصالحی است .