Transcript کنترل

‫سیستم مدیریت امنیت اطالعات‬
‫بر اساس استاندارد‬
‫‪Iso 27001 :2005‬‬
‫هدف استاندارد ‪27001‬‬
‫فراهم آوردن مدلی برای ایجاد ‪ ،‬پیاده سازی ‪ ،‬اجرا ‪ ،‬پایش‬
‫‪،‬بازنگری ‪،‬نگهداری و بهبود یک سیستم مدیریت امنیت‬
‫اطالعات‬
‫اساس طراحی و پیاده سازی‬
‫طراحی و پیاده سازی استاندارد تحت تاثیر ‪ ،‬نیازها و اهداف ‪،‬‬
‫الزامات امنیتی ‪ ،‬فرآیندهای بکارگرفته شده و اندازه و ساختار‬
‫سازمان می باشد ‪.‬‬
‫مالک عمل در سیستم مدیریت امنیت‬
‫اطالعات‬
‫دیدگاه فرایند گرا‬
‫فرایند چیست ؟‬
‫هر فعالیتی که منابعی را به خدمت می گیرد و آن را به منظور‬
‫تبدیل ورودی ها به خروجی ها ‪ ،‬مدیریت می نماید ‪ ،‬می تواند‬
‫یک فرایند در نظر گرفته شود ‪.‬‬
‫اغلب ‪ ،‬خروجی یک فرآیند ‪ ،‬ورودی فرآیند بعدی را شکل می‬
‫دهد ‪.‬‬
‫دیدگاه فرآیندگرا چیست ؟‬
‫بکارگیری سیستمی از فرآیندهای درون سازمان ‪ ،‬همراه با‬
‫شناسایی و تعیین ارتباط متقابل این فرایندها و همچنین‬
‫مدیریت آنها ‪ ،‬دیدگاه فرایند گرا نامیده می شود ‪.‬‬
‫موارد مهم در دیدگاه فرآیند گرایی‬
‫الف – درک الزامات امنیت اطالعات سازمان و لزوم ایجاد خط مش ی و اهداف برای امنیت‬
‫اطالعات‬
‫ب‪ -‬پیاده سازی و اجرای کنترل ها برای مدیریت مخاطرات امنیت اطالعات یک سازمان در‬
‫خصوص مخاطرات کالن کسب و کار سازمان‬
‫ج‪ -‬پایش و بازنگری عملکرد و اثربخش ی سیستم مدیریت امنیت اطالعات‬
‫د‪ -‬بهبود مستمر بر پایه اندازه گیری اهداف‬
‫مدل ‪PDCA‬‬
‫طرح‬
‫ایجاد سیستم مدیریت امنیت‬
‫اطالعات‬
‫اجرا‬
‫طرف های‬
‫ذینفع‬
‫پیاده سازی و اجرای سیستم‬
‫مدیریت امنیت اطالعات‬
‫نگهداری و بهبود سیستم‬
‫مدیریت امنیت و اطالعات‬
‫طرف های‬
‫ذینفع‬
‫اقدام‬
‫امنیت اطالعات‬
‫مدیریت شده‬
‫پایش و بازنگری سیستم‬
‫مدیریت امنیت اطالعات‬
‫بررس ی‬
‫انتظارات و الزامات‬
‫امنیت اطالعات‬
‫طرح (ایجاد سیستم مدیریت امنیت اطالعات )‬
‫ایجاد خط مش ی ‪ ،‬اهداف ‪ ،‬فرآیندها و روش های اجرایی سیستم مدیریت امنیت‬
‫اطالعات و مرتبط با مدیریت مخاطرات و بهبود امنیت اطالعات ‪ ،‬به منظور‬
‫حصول نتایجی مطابق با خط مش ی ها و اهداف کالن یک سازمان ‪.‬‬
‫اجرا (پیاده سازی و اجرای سیستم مدیریت امنیت اطالعات )‬
‫پیاده سازی و اجرای خط مش ی ‪ ،‬کنترل ها ‪ ،‬فرآیندها و روش های اجرایی سیستم‬
‫مدیریت امنیت اطالعات‬
‫بررس ی(پایش و بازنگری سیستم مدیریت امنیت اطالعات )‬
‫ارزیابی ‪ ،‬و در موارد مقتض ی ‪ ،‬سنجش عملکرد فرآیند ‪ ،‬مطابق با خط مش ی ‪،‬‬
‫اهداف و تجارب عملی امنیتی سیستم مدیریت امنیت اطالعات و گزارش نتایج به‬
‫مدیریت به منظور بازنگری‬
‫اقدام (نگهداری و بهبود سیستم مدیریت امنیت اطالعات )‬
‫انجام اقدامات اصالحی و پیشگیرانه بر مبنای نتایج ممیزی داخلی سیستم مدیریت‬
‫امنیت اطالعات و بازنگری مدیریت یا سایر اطالعات مرتبط ‪ ،‬به منظور دستیابی‬
‫به بهبود مستمر سیستم مدیریت امنیت اطالعات‬
‫دامنه کاربرد‬
‫الزامات بیان شده عمومی بوده و قصد آن است که در کلیه‬
‫سازمان ها ‪ ،‬صرف نظر از نوع ‪ ،‬اندازه و ماهیت ‪ ،‬قابل‬
‫اعمال باشند ‪.‬‬
‫کنار گذاری ها‬
‫کنارگذاری هر یک از الزامات مشخص شده در بندهای ‪ 8 ،7 ،6 ، 5 ، 4‬هنگامیکه یک سازمان ادعای‬
‫تطابق با این استاندارد بین املللی را دارد ‪ ،‬قابل پذیرش نمی باشد ‪.‬‬
‫کنار گذاری هر یک از کنترلهایی که برای برآورده سازی معیار پذیرش مخاطرات الزمند ‪ ،‬نیازمند توجیه‬
‫و فراهم آوری شواهدی است که مخاطرات مربوطه ‪ ،‬توسط افراد پاسخگو ‪ ،‬پذیرفته شده باشند ‪.‬‬
‫هرجا کنترلی کنار گذاشته شود ‪ ،‬ادعای تطابق با این استاندارد بین املللی پذیرفتنی نیست مگر آنکه‬
‫اینگونه موارد ‪ ،‬توانایی و ‪/‬یا مسئولیت سازمان در قبال فراهم آوری امنیت اطالعاتی که الزامات‬
‫امنیتی مشخص شده به وسیله برآورد مخاطرات و الزامات قانونی یا آیین نامه ای مقتض ی را بر آورده‬
‫می سازد ‪ ،‬تحت تاثیر قرار ندهد ‪.‬‬
‫مراجع اصلی‬
‫مدارک معرفی شده زیر برای استفاده از این مستند ‪ ،‬ضروری می باشند ‪:‬‬
‫ مراجع تاریخ دار فقط ویرایش ذکر شده معتبر است ‪.‬‬‫ مراجع بدون تاریخ ‪ ،‬آخرین ویرایش مستندی (مشتمل بر تمامی اصالحیه ها ) که ارجاع به آنها‬‫مربوط می گردد‪ ،‬معتبر است ‪.‬‬
‫دارایی‬
‫هر چیزی که برای سازمان دارای ارزش می باشد ‪.‬‬
‫دسترس پذیری‬
‫ویژگی در دسترس و قابل استفاده بودن ‪ ،‬به محض تقاضای یک‬
‫موجودیت مجاز شده‬
‫محرمانگی‬
‫ویژگی که اطالعات در دسترس افراد ‪ ،‬موجودیت ها یا فرآیندهای غیر‬
‫مجاز قرار نگرفته یا فاش نشود ‪.‬‬
‫یکپارچگی‬
‫ویژگی حفظ صحت و تمامیت دارایی ها‬
‫امنیت اطالعات‬
‫حفظ محرمانگی ‪ ،‬یکپارچگی و دسترس پذیری اطالعات ‪ .‬همچنین ‪،‬‬
‫ویژگیهایی از قبیل سندیت ‪ ،‬پاسخگویی ‪ ،‬انکار ناپذیری و قابلیت‬
‫اطمینان ‪ ،‬می توانند لحاظ شوند ‪.‬‬
‫رویداد امنیت اطالعات‬
‫رخداد شناسایی شده یک سیستم ‪ ،‬خدمت یا شبکه ‪ ،‬که داللت بر‬
‫نقض احتمالی خط مش ی امنیت اطالعات یا نقص حفاظتی ‪ ،‬یا‬
‫وضعیتی که ممکن است با امنیت مرتبط بوده و قبال شناخته نشده ‪،‬‬
‫دارد ‪.‬‬
‫حادثه امنیت اطالعات‬
‫یک یا مجموعه ای از رویدادهای امنیت اطالعات ناخواسته یا پیش‬
‫بینی نشده که به احتمال زیاد ‪ ،‬عملیات کسب و کار را به خطر‬
‫انداخته و امنیت اطالعات را تهدید کنند ‪.‬‬
‫سیستم مدیریت امنیت اطالعات ‪isms‬‬
‫قسمتی از سیستم مدیریت کالن ‪ ،‬بنا شده بر دیدگاه مخاطرات کسب و کار ‪ ،‬به‬
‫منظور ایجاد ‪ ،‬پیاده سازی ‪ ،‬اجرا ‪ ،‬پایش ‪ ،‬بازنگری نگهداری و بهبود امنیت‬
‫اطالعات ‪.‬‬
‫سیستم مدیریتی ‪ ،‬شامل ساختار سازمانی ‪ ،‬خط مش ی ها ‪ ،‬طرح ریزی فعالیت ها‬
‫‪ ،‬مسئولیت ها ‪ ،‬تجارب ‪ ،‬روش های اجرایی ‪ ،‬فرآیندها و منابع می باشد ‪.‬‬
‫مخاطرت باقیمانده‬
‫مخاطرات باقیمانده پس از برطرف سازی مخاطرات‬
‫پذیرش مخاطرات‬
‫تصمیم برای پذیرش یک مخاطره‬
‫تحلیل مخاطرات‬
‫استفاده نظام مند از اطالعات به منظور شناسایی منابع و تخمین‬
‫مخاطرات‬
‫برآورد مخاطرات‬
‫فرآیند کلی تحلیل و ارزیابی مخاطرات‬
‫ارزیابی مخاطرات‬
‫فرآیند مقایسه مخاطره تخمین زده شده با معیار مخاطرات ارائه شده‬
‫‪ ،‬به منظور تعیین اهمیت مخاطره‬
‫مدیریت مخاطرات‬
‫فعالیت های هماهنگ شده برای هدایت و کنترل یک سازمان با توجه‬
‫به مخاطرات ‪.‬‬
‫مدیریت ارتباطات و عملیات‬
‫حفاظت در برابر کدهای مخرب و سیار‬
‫مقصود ‪ :‬حفاظت از یکپارچگی نرم افزار و اطالعات‬
‫کنترل هایی در برابر کنترل های الزم برای تشخیص ‪ ،‬پیشگیری و ترمیم به منظور‬
‫حفاظت در برابر کدهای مخرب ‪ ،‬و روش های اجرایی مناسب برای‬
‫کدهای مخرب‬
‫آگاه سازی کاربران ‪ ،‬باید پیاده سازی شوند ‪.‬‬
‫کنترل هایی در برابر جائیکه استفاده از کدهای سیار ‪ ،‬مجاز شده ‪ ،‬پیکربندی باید‬
‫اطمینان دهد که کد سیار مجاز شده ‪ ،‬با توجه به خط مش ی امنیتی‬
‫کدهای سیار‬
‫ای که به صورت شفاف تعریف شده ‪ ،‬عمل می کند ‪ ،‬و از اجرای‬
‫کد سیار غیر مجاز نیز باید پیشگیری شود ‪.‬‬
‫برطرف سازی مخاطرات‬
‫فرآیند انتخاب و پیاده سازی معیارهایی برای تعدیل مخاطرات ‪.‬‬
‫در این استاندارد بین املللی ‪ ،‬واژه کنترل به عنوان مترادف معیار به کار‬
‫رفته است‬
‫بیانیه کاربست پذیری(‪)applicability‬‬
‫بیانیه مستند شده ای که اهداف کنترلی و کنترل های وابسته و بکار برده شده در‬
‫سیستم مدیریت امنیت اطالعات سازمان را تشریح می کند ‪.‬‬
‫اهداف کنترلی و کنترلها ‪ ،‬بر مبنای نتایج و استنتاج از فرآیندهای برآورد و برطرف‬
‫سازی مخاطرات ‪ ،‬الزامات قانونی یا آئین نامه ای ‪ ،‬تعهدات قراردادی و الزامات‬
‫کسب و کار سازمان برای امنیت اطالعات ‪ ،‬پایه ریزی می شوند ‪.‬‬
‫ایجاد سیستم مدیریت امنیت اطالعات‬
‫برای ایجاد سیستم مدیریت امنیت اطالعات مراحل زیر باید انجام شود ‪:‬‬
‫مرحله اول ‪ :‬تعریف دامنه و مرزهای سیستم مدیریت امنیت اطالعات ‪ ،‬بر مبنای‬
‫ویژگیهای کسب و کار ‪ ،‬سازمان ‪ ،‬مکان ‪ ،‬دارایی ها و فناوری آن ‪ ،‬و مشتمل بر‬
‫جزئیات و توجیه برای کنارگذاری هر چیزی از دامنه ‪.‬‬
‫مرحله دوم ‪ :‬تعریف یک خط مش ی سیستم مدیریت امنیت اطالعات بر مبنای‬
‫ویژگیهای کسب و کار ‪ ،‬سازمان ‪ ،‬مکان ‪ ،‬دارایی ها و فناوری آن‬
‫ایجاد سیستم مدیریت امنیت اطالعات‬
‫مرحله سوم ‪ :‬تعریف رویکرد برآورد مخاطرات سازمان‬
‫مرحله چهارم ‪ :‬شناسایی مخاطرات‬
‫مرحله پنجم ‪ :‬تحلیل و ارزیابی مخاطرات‬
‫مرحله ششم ‪ :‬شناسایی و ارزیابی گزینه هایی برای برطرف سازی مخاطرات‬
‫مرحله هفتم ‪ :‬گزینش اهداف کنترلی و کنترل ها برای برطرف سازی مخاطرات‬
‫ایجاد سیستم مدیریت امنیت اطالعات‬
‫مرحله هشتم ‪ :‬دریافت مصوبه مدیریت برای مخاطرات باقیمانده پیشنهاد شده‬
‫مرحله نهم ‪ :‬دریافت مجوز مدیریت برای پیاده سازی و اجرای سیستم مدیریت‬
‫امنیت اطالعات‬
‫مرحله دهم ‪ :‬تهیه بیانیه کاربست پذیری‬
‫مدیریت ارتباطات و عملیات‬
‫طرح ریزی و پذیرش سیستم‬
‫مقصود ‪ :‬کمینه کردن مخاطرات ناش ی از نقایص سیستم ها‬
‫مدیریت ظرفیت‬
‫استفاده از منابع باید پایش شده ‪ ،‬تنظیم شده ‪ ،‬و ظرفیت مورد نیاز‬
‫در آینده به گونه ای پیش بینی شود که از کارایی مورد نیاز سیستم ‪،‬‬
‫اطمینان حاصل شود ‪.‬‬
‫پذیرش سیستم‬
‫معیار پذیرش سیستم های اطالعاتی جدید ‪ ،‬ویرایش های ارتقاء‬
‫یافته و جدید ‪ ،‬باید ایجاد شده و در حین توسعه و پیش از پذیرش‬
‫سیستم ‪ ،‬آزمایش های مناسب انجام پذیرند ‪.‬‬
‫خصوصیات خط مش ی سیستم مدیریت امنیت‬
‫اطالعات‬
‫الف‪ -‬مشتمل بر چارچوبی برای تعیین اهداف و ایجاد یک درک کالن از مسیر و مبانی برای اقدام ‪،‬‬
‫با توجه به امنیت اطالعات باشد ‪.‬‬
‫ب‪ -‬دربرگیرنده کسب و کار ‪ ،‬الزامات قانونی یا آئین نامه ای و تعهدات امنیتی قراردادی باشد ‪.‬‬
‫ج – با مفاد مدیریت مخاطرات راهبردی سازمان که در ایجاد و نگهداری سیستم مدیریت امنیت‬
‫اطالعات لحاظ خواهد شد ‪ ،‬هماهنگ شود ‪.‬‬
‫د‪ -‬معیاری ایجاد کند که مطابق آن ‪ ،‬مخاطرات ارزیابی خواهند شد ‪.‬‬
‫ه‪ -‬توسط مدیریت تصویب شود ‪.‬‬
‫خط مش ی امنیت اطالعات‬
‫هدف ‪ :‬فراهم آوری جهت گیری و حمایت مدیریت برای امنیت اطالعات با توجه به الزامات کسب‬
‫و کار و قوانین و آئین نامه های مرتبط ‪.‬‬
‫کنترلها‬
‫‪ -1‬باید توسط مدیریت تصویب ‪ ،‬و منتشر و به اطالع همه کارکنان و طرف های مرتبط بیرونی‬
‫برسد ‪.‬‬
‫‪ -2‬باید در فواصل زمانی طرح ریزی شده یا در صورتیکه تغییرات بارزی رخ دهد ‪ ،‬به منظور‬
‫حصول اطمینان از تداوم تناسب ‪ ،‬کفایت و اثربخش ی آن ‪ ،‬بازنگری شود ‪.‬‬
‫کنترل دسترس ی‬
‫الزامات کسب و کار برای کنترل دسترس ی‬
‫مقصود ‪ :‬کنترل دسترس ی به اطالعات‬
‫خط‬
‫دسترس ی‬
‫مش ی‬
‫کنترل یک خط مش ی کنترل دسترس ی باید بر مبنای الزامات کسب و کار و الزامات‬
‫امنیتی در خصوص دسترس ی ‪ ،‬ایجاد ‪ ،‬مدون و بازنگری شود ‪.‬‬
‫رویکرد برآورد مخاطرات سازمان‬
‫‪ -1‬شناسایی یک متدولوژی برآورد مخاطرات که برای سیستم مدیریت امنیت اطالعات و امنیت‬
‫اطالعات شناسایی شده کسب و کار ‪ ،‬الزامات قانونی و آئین نامه ای ‪ ،‬متناسب شده باشد ‪.‬‬
‫‪ -2‬ایجاد معیاری برای پذیرش مخاطرات و شناسایی سطوح قابل قبول مخاطرات‬
‫متدولوژی برآورد مخاطرات انتخاب شده ‪ ،‬باید اطمینان دهد که برآورد مخاطرات ‪ ،‬نتایجی قابل‬
‫قیاس و تجدید پذیر ‪ ،‬ارائه می کند ‪.‬‬
‫سازمان داخلی‬
‫مقصود ‪ :‬مدیریت کردن امنیت اطالعات در درون سازمان‬
‫تعهد مدیریت به‬
‫امنیت اطالعات‬
‫هماهنگی‬
‫اطالعات‬
‫مدیریت باید فعاالنه ‪ ،‬امنیت را در درون سازمان از طریق جهت گیری‬
‫شفاف ‪ ،‬تعهد اثبات شده ‪ ،‬مکلف کردن به صورت صریح و اعالم‬
‫مسئولیت های امنیت اطالعات ‪ ،‬حمایت نماید ‪.‬‬
‫امنیت فعالیت های امنیت اطالعات ‪ ،‬باید توسط نمایندگانی از بخش های‬
‫مختلف سازمان با نقش ها و کارکردهای شغلی مرتبط ‪ ،‬هماهنگ‬
‫شوند ‪.‬‬
‫تخصیص مسئولیت‬
‫های امنیت اطالعات‬
‫فرآیند مجازسازی‬
‫امکانات‬
‫برای‬
‫پردازش اطالعات‬
‫تمامی مسئولیت های امنیت اطالعات ‪ ،‬باید به وضوح تعریف شوند‬
‫‪.‬‬
‫یک فرآیند مجاز سازی مدیریتی برای امکانات جدید پردازش اطالعات‬
‫‪ ،‬باید تعریف و پیاده سازی شود ‪.‬‬
‫سازمان داخلی‬
‫مقصود ‪ :‬مدیریت کردن امنیت اطالعات در درون سازمان‬
‫توافق نامه های الزاماتی برای توافقنامه های محرمانگی یا عدم افشاء که منعکس‬
‫کننده نیازهای سازمان به حفاظت از اطالعات می باشد ‪ ،‬باید‬
‫محرمانگی‬
‫شناسایی و به طور منظم بازنگری شود ‪.‬‬
‫برقراری ارتباط با باید ارتباطات مناسبی با اولیای امور مرتبط ‪ ،‬برقرار و حفظ شود‬
‫اولیای امور‬
‫برقراری ارتباط با باید ارتباطات مناسبی با گروههای دارای گرایش خاص یا سایر‬
‫دارای انجمن های امنیتی متخصص و انجمن های حرفه ای ‪ ،‬برقرار و‬
‫گروههای‬
‫حفظ شود ‪.‬‬
‫گرایش خاص‬
‫بازنگری‬
‫مستقل رویکرد سازمان به مدیریت امنیت اطالعات و پیاده سازی آن (به‬
‫عنوان مثال اهداف کنترلی ‪ ،‬کنترل ها ‪ ،‬خط مش ی ها ‪ ،‬فرآیندها و‬
‫امنیت اطالعات‬
‫روشهای اجرایی امنیت اطالعات ) باید در فواصل زمانی طرح ریزی‬
‫شده یا هنگامیکه تغییرات عمده ای در پیاده سازی امنیت اطالعات‬
‫رخ دهد ‪ ،‬مستقال بازنگری شود ‪.‬‬
‫طرف های بیرونی‬
‫مقصود ‪ :‬حفظ و نگهداری امنیت اطالعات و امکانات پردازش اطالعات سازمان که در‬
‫دسترس طرفهای بیرونی قرار داشته یا توسط ایشان پردازش یا مدیریت شده یا با آنها‬
‫مبادله می شوند‬
‫شناسایی مخاطرات مخاطرات اطالعات و امکانات پردازش اطالعات سازمان ناش ی از‬
‫مرتبط با طرف های فرآیندهای کسب و کار مرتبط با طرف های بیرونی ‪ ،‬باید پیش از‬
‫اعطای دسترس ی ‪ ،‬شناسایی شده و کنترل های مناسب ‪ ،‬پیاده سازی‬
‫بیرونی‬
‫شوند ‪.‬‬
‫نشانی دهی امنیت تمام الزامات امنیتی شناسایی شده ‪ ،‬پیش از اعطای دسترس ی‬
‫هنگام سر و کار اطالعات یا اموال سازمان به مشتری ‪ ،‬باید نشانی دهی شوند ‪.‬‬
‫داشتن با مشتریان‬
‫نشانی دهی امنیت در توافقنامه های منعقده با اشخاص ثالثی که با اعطای دسترس ی ‪،‬‬
‫های پردازش کردن ‪ ،‬تبادل یا مدیریت کردن اطالعات یا امکانات پردازش‬
‫توافقنامه‬
‫اطالعات سازمان ‪ ،‬یا اضافه کردن محصوالت یا خدمات به امکانات‬
‫شخص ثالث‬
‫پردازش اطالعات ‪ ،‬سرو کار دارند ‪ ،‬باید تمامی الزامات امنیتی مرتبط‬
‫را پوشش دهند ‪.‬‬
‫شناسایی مخاطرات‬
‫‪ -1‬شناسایی دارایی های واقع در دامنه سیستم مدیریت امنیت اطالعات و مالکان آنها‬
‫‪ -2‬شناسایی تهدیدهای متوجه آن دارایی ها‬
‫‪ -3‬شناسایی آسیب پذیری هایی که ممکن است توسط تهدیدها ‪ ،‬نمود پیدا کنند ‪.‬‬
‫‪ -4‬شناسایی آسیب هایی که ممکن است با از دست دادن محرمانگی ‪ ،‬یکپارچگی و دسترس پذیری‬
‫‪ ،‬متوجه دارایی ها شوند ‪.‬‬
‫مدیریت دارایی‬
‫مسئولیت دارایی ها‬
‫مقصود ‪ :‬دستیابی و نگهداری حفاظت مناسب از دارایی های سازمانی‬
‫سیاهه اموال‬
‫تمامی دارایی ها باید به وضوح شناسایی شده و سیاهه ای از تمام‬
‫دارایی های مهم ‪ ،‬تنظیم و نگهداری شود ‪.‬‬
‫مالکیت دارایی ها‬
‫تمامی اطالعات و دارایی های مرتبط با امکانات پردازش اطالعات ‪،‬‬
‫باید در تملک بخش معینی از سازمان باشد ‪.‬‬
‫استفاده پسندیده از باید قواعدی برای استفاده پسندیده از اطالعات و دارایی های‬
‫مرتبط با امکانات پردازش اطالعات ‪ ،‬شناسایی ‪ ،‬مدون و پیاده سازی‬
‫دارایی ها‬
‫شوند ‪.‬‬
‫مدیریت دارایی‬
‫طبقه بندی اطالعات‬
‫مقصود ‪ :‬حصول اطمینان از اینکه اطالعات ‪ ،‬به سطح حفاظتی مناسبی رسیده اند ‪.‬‬
‫راهنمای اطالعات باید با توجه به ارزش آن ‪ ،‬الزامات قانونی ‪ ،‬حساسیت و‬
‫خطوط‬
‫بحرانی بودن برای سازمان ‪ ،‬طبقه بندی شوند ‪.‬‬
‫طبقه بندی‬
‫عالمت گذاری و برای عالمت گذاری و اداره کردن اطالعات ‪ ،‬باید مجموعه مناسبی از‬
‫اداره کردن اطالعات روش های اجرایی با توجه به طرح طبقه بندی پذیرفته شده سازمان‬
‫‪ ،‬ایجاد و پیاده سازی شوند ‪.‬‬
‫تحلیل و ارزیابی مخاطرات‬
‫‪ -1‬برآورد تاثیرات کسب و کار ‪ ،‬که ممکن است از نقیصه های امنیتی حاصل‬
‫شوند ‪ ،‬بر سازمان ‪ ،‬با توجه به پیامدهای از دست دادن محرمانگی ‪ ،‬یکپارچگی یا‬
‫دسترس پذیری دارایی ها ‪.‬‬
‫‪ -2‬برآورد واقع گرایانه احتمال بروز نقیصه های امنیتی ‪ ،‬با در نظر گرفتن تهدیدها‬
‫و آسیب پذیری های متداول ‪ ،‬و آسیب های وابسته به این دارایی ها ‪ ،‬و کنترل‬
‫هایی که در حال حاضر پیاده سازی شده اند ‪.‬‬
‫‪ -3‬تخمین سطوح مخاطرات‬
‫‪ -4‬تعیین اینکه مخاطرات در حد قابل قبول هستند یا نیازمند برطرف سازی ‪ ،‬با‬
‫استفاده از معیارهای پذیرش مخاطرات ایجاد شده می باشند ‪.‬‬
‫مدیریت ارتباطات و عملیات‬
‫تبادل اطالعات‬
‫مقصود ‪ :‬حفظ امنیت اطالعات و نرم افزار مبادله شده در درون یک سازمان و با هر موجودیت‬
‫بیرونی‬
‫خط مش ی ها و روش برای حفاظت تبادل اطالعات بواسطه استفاده از تمام انواع امکانات‬
‫های اجرایی تبادل ارتباطی ‪ ،‬باید خط مش ی ها ‪ ،‬روش های اجرایی و کنترل های تبادل رسمی‬
‫ایجاد شوند ‪.‬‬
‫اطالعات‬
‫توافقنامه های تبادل‬
‫برای تبادل اطالعات و نرم افزار مابین سازمان و طرف های بیرونی ‪ ،‬باید‬
‫توافق نامه هایی ایجاد شوند ‪.‬‬
‫محیطهای ذخیره سازی محیط های ذخیره سازی حاوی اطالعات باید در هنگام حمل و نقل خارج از‬
‫فیزیکی ‪ ،‬حین حمل و مرزهای فیزیکی سازمان ‪ ،‬در برابر دسترس ی غیر مجاز ‪ ،‬استفاده نابجا یا‬
‫صدمه ‪ ،‬محافظت شوند ‪.‬‬
‫نقل‬
‫مدیریت ارتباطات و عملیات‬
‫تبادل اطالعات‬
‫مقصود ‪ :‬حفظ امنیت اطالعات و نرم افزار مبادله شده در درون یک سازمان و با هر موجودیت‬
‫بیرونی‬
‫پیام رسانی الکترونیکی‬
‫اطالعات مورد بحث در پیام رسانی الکترونیکی باید به صورت مناسبی‬
‫حفاظت شوند ‪.‬‬
‫سیستم های اطالعاتی به منظور حفاظت اطالعات مربوط به اتصاالت درونی سیستم های‬
‫اطالعاتی کسب و کار ‪ ،‬خط مش ی ها و روش های اجرایی باید ایجاد و پیاده‬
‫کسب و کار‬
‫سازی شوند ‪.‬‬
‫مدیریت ارتباطات و عملیات‬
‫خدمات تجارت الکترونیک‬
‫مقصود ‪ :‬حصول اطمینان از امنیت خدمات تجارت الکترونیک و استفاده ایمن از آنها‬
‫تجارت الکترونیک‬
‫اطالعات مورد بحث در تجارت الکترونیک که از شبکه های عمومی عبور‬
‫می کنند ‪ ،‬باید در برابر فعالیتهای کاله برداری ‪ ،‬مناقشات در قرارداد ‪ ،‬و‬
‫افشاء و دستکاری غیر مجاز ‪ ،‬محافظت شوند ‪.‬‬
‫داد و ستدهای بر خط اطالعات مورد بحث در داد و ستد های بر خط (متصل و مستقیم) ‪ ،‬باید‬
‫به منظور پیشگیری از انتقال ناقص ‪ ،‬مسیریابی اشتباه ‪ ،‬تغییر یافتن غیر‬
‫(متصل و مستقیم)‬
‫مجاز پیغام ‪ ،‬افشای غیر مجاز ‪ ،‬بازگرداندن یا تکرار غیر مجاز پیغام ‪،‬‬
‫حفاظت شوند ‪.‬‬
‫اطالعات در دسترس یکپارچگی اطالعاتی که در یک سیستم در دسترس عموم ‪ ،‬قابل حصول‬
‫است ‪ ،‬باید به منظور پیشگیری از دستکاری غیر مجاز ‪ ،‬محافظت شود ‪.‬‬
‫عموم‬
‫اقدامات ممکن برای برطرف سازی مخاطرات‬
‫‪ -1‬به کار گرفتن کنترل های مناسب‬
‫‪ -2‬پذیرش مخاطرات به صورت آگاهانه و هدفمند ‪ ،‬مشروط بر اینکه به وضوح ‪ ،‬خط مش ی های‬
‫سازمان و معیار پذیرش مخاطرات را برآورده سازند ‪.‬‬
‫‪ -3‬اجتناب از مخاطرات‬
‫‪ -4‬انتقال مخاطرات کسب و کار به طرف های دیگر ‪ ،‬به عنوان مثال بیمه گذاران ‪ ،‬تامین کنندگان‬
‫اجزاء بیانیه کاربست پذیری‬
‫‪ -1‬اهداف کنترلی و کنترلهای برگزیده و دالیل انتخاب آنها‬
‫‪ -2‬اهداف کنترلی و کنترل هایی که در حال حاضر پیاده سازی شده اند‬
‫‪ -3‬کنارگذاری هر یک از اهداف کنترلی و کنترل های آن و توجیه کنارگذاری آنها‬
‫بیانیه کاربست پذیری ‪ ،‬از تصمیمات اتخاذ شده در خصوص برطرف سازی مخاطرات ‪ ،‬یک جمع‬
‫بندی ارائه می دهد ‪ .‬توجیهات کنارگذاری ‪ ،‬بررس ی مضاعفی را فراهم می کند که هیچ کنترلی ‪،‬‬
‫سهوا از قلم نیافتاده باشد ‪.‬‬
‫پیاده سازی و اجرای سیستم‬
‫‪ -1‬قاعده مند کردن یک طرح برطرف سازی مخاطرات ‪ ،‬به منظور مدیریت کردن مخاطرات امنیت‬
‫اطالعات ‪ ،‬که اقدام مدیریتی مناسب ‪ ،‬منابع ‪ ،‬مسئولیت ها و اولویت ها را شناسایی کند ‪.‬‬
‫‪ -2‬پیاده سازی طرح برطرف سازی مخاطرات به منظور دستیابی به اهداف کنترلی شناسایی شده ‪،‬‬
‫که دربرگیرنده مالحظات مالی و تخصیص نقش ها و مسئولیت ها باشد ‪.‬‬
‫‪ -3‬پیاده سازی کنترل های برگزیده شده ‪ ،‬به منظور برآورده سازی اهداف کنترلی‬
‫‪ -4‬تعریف چگونگی سنجش اثربخش ی کنترل ها یا گروهی از کنترل های انتخاب شده و تعیین اینکه‬
‫این اندازه گیری ها ‪ ،‬چگونه برای برآورد اثربخش ی کنترل ها ‪ ،‬به منظور ارائه نتایج قابل قیاس و‬
‫تجدید پذیر ‪ ،‬مورد استفاده قرار گرفته اند ‪.‬‬
‫مدیریت تداوم کسب و کار‬
‫جنبه های امنیت اطالعات مدیریت تداوم کسب و کار‬
‫مقصود ‪ :‬خنثی کردن وقفه های فعالیت های کسب و کار و حفاظت از فرآیندهای بحرانی کسب و کار در برابر‬
‫اثرات ناش ی از خرابی های عمده سیستم های اطالعاتی یا سوانح و حصول اطمینان از سرگیری به موقع آنها‬
‫لحاظ کردن امنیت باید فرآیند مدیریت شده ای به منظور تداوم کسب و کار در سراسر سازمان ‪،‬‬
‫اطالعات در فرآیند ایجاد و نگهداری شود که الزامات امنیت اطالعات مورد نیاز تداوم کسب و کار‬
‫مدیریت تداوم کسب و سازمان را نشانی دهی کند ‪.‬‬
‫کار‬
‫تداوم کسب و کار و وقایعی که می توانند موجب وقفه در فرآیندهای کسب و کار شوند ‪ ،‬باید با توجه‬
‫به احتمال بروز و آسیب ناش ی از چنین وقفه هایی و پیامدهای آنها بر امنیت‬
‫برآورد مخاطرات‬
‫اطالعات ‪ ،‬شناسایی شوند ‪.‬‬
‫مدیریت تداوم کسب و کار‬
‫جنبه های امنیت اطالعات مدیریت تداوم کسب و کار‬
‫مقصود ‪ :‬خنثی کردن وقفه های فعالیت های کسب و کار و حفاظت از فرآیندهای بحرانی کسب و کار در برابر‬
‫اثرات ناش ی از خرابی های عمده سیستم های اطالعاتی یا سوانح و حصول اطمینان از سرگیری به موقع آنها‬
‫ایجاد و پیاده سازی طرح در پی وقفه یا بروز نقص در فرآیندهای بحرانی کسب و کار ‪ ،‬به منظور نگهداری یا‬
‫های تداوم دربرگیرنده از سرگیری عملیات و اطمینان از دسترس پذیری اطالعات در سطح و مقیاس های‬
‫زمانی مورد نیاز ‪ ،‬باید طرح هایی ایجاد و پیاده سازی شوند ‪.‬‬
‫امنیت اطالعات‬
‫چارچوب طرح ریزی تداوم به منظور حصول اطمینان از سازگار بودن تمامی طرح ها ‪ ،‬نشانی دهی بدون‬
‫تناقض الزامات امنیت اطالعات ‪ ،‬و شناسایی اولویت های آزمایش و نگهداری ‪ ،‬یک‬
‫کسب و کار‬
‫چارچوب واحد از طرح های تداوم کسب ‪ .‬کار باید ایجاد و نگهداری شود‬
‫آزمایش ‪ ،‬نگهداری و طرح های تداوم کسب و کار ‪ ،‬به منظور حصول اطمینان از اینکه به روز و موثر‬
‫ارزیابی مجدد طرح های هستند ‪ ،‬باید به طور منظم مورد آزمایش قرار گرفته و بهنگام سازی شوند‬
‫تداوم کسب و کار‬
‫پیاده سازی و اجرای سیستم‬
‫‪ -5‬پیاده سازی برنامه های آموزش ی و آگاه سازی‬
‫‪ -6‬مدیریت عملیات سیستم مدیریت امنیت اطالعات‬
‫‪ -7‬مدیریت منابع برای سیستم مدیریت امنیت اطالعات‬
‫‪ -8‬پیاده سازی روشهای اجرایی و دیگر کنترل هایی که قادر به توانمند ساختن آشکارسازی‬
‫سریع وقایع امنیتی و پاسخ دهی به حوادث امنیتی باشند‬
‫دالیل پایش و بازنگری ‪ISMS‬‬
‫‪ -1‬تشخیص سریع خطاها در نتایج پردازش‬
‫‪ -2‬شناسایی سریع نقض ها و حوادث امنیتی موفق و ناتمام‬
‫‪ -3‬قادر ساختن مدیریت در تشخیص اینکه فعالیتهای امنیتی سپرده شده به افراد یا پیاده سازی‬
‫شده بوسیله فناوری اطالعات ‪ ،‬آنگونه که انتظار می رود ‪ ،‬انجام می شوند ‪.‬‬
‫‪ -4‬کمک در تشخیص وقایع امنیتی و از آن طریق ‪ ،‬پیشگیری از حوادث امنیتی بوسیله استفاده از‬
‫نشانگرها‬
‫‪ -5‬تعیین اینکه اقدامات صورت گرفته برای رفع نقض امنیتی ‪ ،‬موثر بوده است ‪.‬‬
‫دالیل بازنگری و شناسایی سطح قابل قبول مخاطرات‬
‫‪ -1‬تغییرات در سازمان‬
‫‪ -2‬تغییر در فناوری‬
‫‪ -3‬تغییر اهداف و فرآیندهای کسب و کار‬
‫‪ -4‬تهدیدهای شناسایی شده‬
‫‪ -5‬اثربخش ی کنترل های پیاده سازی شده‬
‫‪ -6‬رویدادهای برونی همانند تغییرات در فضای قانونی یا آئین نامه ای ‪ ،‬تغییر در تعهدات قراردادی‬
‫‪ ،‬و تغییرات در شرایط اجتماعی‬
‫نحوه پایش و بازنگری سیستم ‪ISMS‬‬
‫الف‪ -‬اجرای روش های اجرایی پایش و دیگر کنترل ها‬
‫ب‪ -‬تعهد بازنگری قاعده مند اثربخش ی سیستم مدیریت امنیت اطالعات (شامل برآورده سازی خط‬
‫مش ی و اهداف سیستم مدیریت امنیت اطالعات ‪ ،‬و بازنگری کنترل های امنیتی) با توجه به نتایج‬
‫ممیزی های امنیتی ‪ ،‬حوادث ‪ ،‬نتایج اندازه گیری های اثربخش ی ‪ ،‬پیشنهادها و بازخورهای تمامی‬
‫طرف های ذینفع‬
‫ج‪ -‬سنجش اثربخش ی کنترل ها به منظور تصدیق اینکه الزامات امنیتی ‪ ،‬برآورده شده اند ‪.‬‬
‫د‪ -‬بازنگری برآوردهای مخاطرات در فواصل زمانی طرح ریزی شده و بازنگری مخاطرات باقیمانده و‬
‫شناسایی سطح قابل قبول مخاطرات‬
‫ه‪ -‬انجام ممیزی های داخلی سیستم مدیریت امنیت اطالعات در فواصل زمانی طرح ریزی شده‬
‫نحوه پایش و بازنگری سیستم ‪ISMS‬‬
‫و‪ -‬تعهد به بازنگری مدیریت قاعده مند سیستم مدیریت امنیت اطالعات ‪ ،‬به منظور حصول‬
‫اطمینان از متناسب باقی ماندن دامنه و اینکه بهبودها در فرآیند سیستم مدیریت امنیت اطالعات ‪،‬‬
‫شناسایی شده اند ‪.‬‬
‫ز‪ -‬بروز آوری طرح های امنیتی با در نظر گرفتن یافته های فعالیت های پایش و بازنگری‬
‫ح – ثبت اقدامات و وقایعی که می توانند بر اثربخش ی یا کارایی سیستم مدیریت امنیت اطالعات ‪،‬‬
‫تاثیر شدید بگذارند ‪.‬‬
‫مدیریت ارتباطات و عملیات‬
‫پایش‬
‫مقصود ‪ :‬تشخیص فعالیت های غیر مجاز پردازش اطالعات‬
‫واقعه نگاری ممیزی‬
‫سوابق وقایع ممیزی مشتمل بر فعالیتهای کاربر ‪ ،‬استثناء ها و وقایع امنیت‬
‫اطالعات ‪ ،‬باید برای یک بازه زمانی توافق شده ‪ ،‬ایجاد و نگهداری شوند تا‬
‫در رسیدگی های آتی و پایش کنترل دستی ‪ ،‬کمک نماید ‪.‬‬
‫پایش کاربرد سیستم‬
‫روش های اجرایی برای پایش کاربرد امکانات پردازش اطالعات ‪ ،‬باید ایجاد‬
‫شده و نتایج فعالیت های پایش ‪ ،‬به طور منظم ‪ ،‬بازنگری شوند ‪.‬‬
‫حفاظت از اطالعات امکانات واقعه نگاری و اطالعات ثبت شده وقایع ‪ ،‬باید در برابر دسترس ی‬
‫پنهانی و غیر مجاز ‪ ،‬حفاظت شوند ‪.‬‬
‫ثبت شده وقایع‬
‫مدیریت ارتباطات و عملیات‬
‫پایش‬
‫مقصود ‪ :‬تشخیص فعالیت های غیر مجاز پردازش اطالعات‬
‫ثبت وقایع متولی وقایع فعالیت های متولی سیستم و متصدی سیستم باید ثبت شوند ‪.‬‬
‫سیستم و متصدی‬
‫واقعه نگاری خرابی‬
‫وقایع خرابی ها باید ثبت شده ‪ ،‬تحلیل شده و اقدام مناسبی انجام شود‬
‫هم زمان سازی ساعت‬
‫ساعت های تمامی سیستم های پردازش اطالعات مرتبط در درون یک‬
‫سازمان یا دامنه امنیتی ‪ ،‬باید با یک منبع زمانی دقیق توافق شده ‪،‬‬
‫همزمان شوند ‪.‬‬
‫مدیریت حوادث امنیت اطالعات‬
‫گزارش دهی وقایع و ضعف های امنیت اطالعات‬
‫مقصود ‪ :‬حصول اطمینان از اینکه وقایع و ضعف های امنیت اطالعات مربوط به سیستم های اطالعاتی ‪ ،‬به‬
‫شیوه ای به اطالع برسد که اجازه اقدام اصالحی بهنگام را بدهد ‪.‬‬
‫گزارش دهی وقایع امنیت وقایع امنیت اطالعات باید در کوتاهترین زمان ممکن ‪ ،‬از طریق مجاری مدیریتی‬
‫مناسب ‪ ،‬گزارش شوند ‪.‬‬
‫اطالعات‬
‫گزارش دهی ضعف های تمامی کارکنان ‪ ،‬پیمانکاران و کاربران شخص ثالث سیستم ها و خدمات اطالعاتی ‪،‬‬
‫باید نسبت به یادداشت و گزارش دهی هر ضعف امنیتی مشاهده شده یا مورد‬
‫امنیتی‬
‫سوء ظن در سیستم ها یا خدمات ‪ ،‬ملزم شوند ‪.‬‬
‫مدیریت حوادث امنیت اطالعات‬
‫مدیریت حوادث و بهبودهای امنیت اطالعات‬
‫مقصود ‪ :‬حصول اطمینان از اینکه رویکردی استوار و موثر برای مدیریت حوادث امنیت اطالعات ‪ ،‬بکار گرفته‬
‫شده است ‪.‬‬
‫مسئولیت ها و روش های به منظور حصول اطمینان از یک پاسخ سریع ‪ ،‬موثر و منظم به حوادث امنیت‬
‫اطالعات ‪ ،‬مسئولیت های مدیریتی و روش های اجرایی باید ایجاد شوند ‪.‬‬
‫اجرایی‬
‫یادگیری از حوادث امنیت برای اینکه نوع ‪ ،‬حجم و هزینه های حوادث امنیتی ‪ ،‬قابل اندازه گیری و پایش‬
‫باشند ‪ ،‬باید ساز و کارهای الزم ایجاد شوند ‪.‬‬
‫اطالعات‬
‫گردآوری شواهد‬
‫هنگامیکه پیگرد علیه یک فرد یا سازمان ‪ ،‬پس از یک حادثه امنیت اطالعات ‪،‬‬
‫منجر به اقدام قانونی (اعم از مدنی یا جنایی) می شود ‪ ،‬شواهد باید منطبق با‬
‫قواعد اقامه شواهد در حوزه های قضایی مرتبط ‪ ،‬گردآوری ‪ ،‬نگهداری و ارائه‬
‫شوند ‪.‬‬
‫نحوه نگهداری و بهبود سیستم ‪ISMS‬‬
‫الف‪ -‬پیاده سازی بهبودهای شناسایی شده در سیستم مدیریت امنیت اطالعات‬
‫ب‪ -‬انجام اقدامات اصالحی و پیشگیرانه مناسب و بکاربستن دروس آموخته شده از تجارب امنیتی‬
‫دیگر سازمان ها و خود سازمان‬
‫ج‪ -‬انتقال اطالعات مربوط به اقدامات و بهبودها ‪ ،‬به تمامی طرف های ذینفع ‪ ،‬با سطحی از‬
‫جزئیات متناسب با شرایط محیطی و در صورت لزوم ‪ ،‬توافق در مورد چگونگی ادامه کار‬
‫د‪ -‬اطمینان از اینکه بهبودها ‪ ،‬اهداف مورد نظرشان را حاصل می کنند ‪.‬‬
‫اکتساب ‪ ،‬توسعه و نگهداری سیستم های اطالعاتی‬
‫الزامات امنیتی سیستم های اطالعاتی‬
‫مقصود ‪ :‬حصول اطمینان از اینکه امنیت ‪ ،‬یک جزء جدایی ناپذیر از سیستم های اطالعاتی است ‪.‬‬
‫تحلیل و تعیین الزامات بیان نیازهای سازمان به سیستم های اطالعاتی جدید یا گسترش سیستم های‬
‫اطالعاتی موجود ‪ ،‬باید الزاماتی را به منظور اعمال کنترل های امنیتی ‪،‬‬
‫امنیتی‬
‫مشخص کند ‪.‬‬
‫اکتساب ‪ ،‬توسعه و نگهداری سیستم های اطالعاتی‬
‫پردازش صحیح در برنامه های کاربردی‬
‫مقصود ‪ :‬پیشگیری از خطاها ‪ ،‬گم شدن ‪ ،‬دستکاری غیر مجاز یا استفاده نابجا از اطالعات در برنامه های‬
‫کاربردی‬
‫صحه گذاری داده های باید داده های ورودی به برنامه های کاربردی ‪ ،‬صحه گذاری شوند تا از صحت و‬
‫تناسب این داده ها اطمینان حاصل شود ‪.‬‬
‫ورودی‬
‫کنترل پردازش های درونی به منظور تشخیص هر نوع خرابی اطالعات ناش ی از خطاهای پردازش ی یا اقدامات‬
‫عمدی ‪ ،‬باید در برنامه های کاربردی ‪ ،‬بررس ی هایی برای صحه گذاری صورت‬
‫پذیرند ‪.‬‬
‫یکپارچگی پیغام‬
‫الزاماتی برای اطمینان از سندیت و حفاظت از یکپارچگی پیغام در برنامه های‬
‫کاربردی ‪ ،‬باید شناسایی شده و کنترل های مناسبی شناسایی و پیاده سازی شوند‬
‫صحه گذاری داده های به منظور حصول اطمینان از اینکه پردازش اطالعات ذخیره شده ‪ ،‬صحیح بوده و‬
‫شرایط مناسبی دارد ‪ ،‬داده های خروجی برنامه های کاربردی ‪ ،‬باید صحه گذاری‬
‫خروجی‬
‫شوند ‪.‬‬
‫اکتساب ‪ ،‬توسعه و نگهداری سیستم های اطالعاتی‬
‫کنترل های رمز نگاری‬
‫مقصود ‪ :‬حفاظت از محرمانگی ‪ ،‬سندیت یا یکپارچگی اطالعات ‪ ،‬توسط مفاهیم رمز نگاری‬
‫خط مش ی استفاده از برای حفاظت از اطالعات ‪ ،‬باید یک خط مش ی استفاده از کنترل های رمز نگاری ‪،‬‬
‫کنترلهای رمزنگاری‬
‫ایجاد و پیاده سازی شود ‪.‬‬
‫مدیریت کلید‬
‫به منظور پشتیبانی استفاده سازمان از فنون رمز نگاری ‪ ،‬باید یک سیستم مدیریت‬
‫کلید ایجاد شود ‪.‬‬
‫اکتساب ‪ ،‬توسعه و نگهداری سیستم های اطالعاتی‬
‫امنیت پرونده های سیستم‬
‫مقصود ‪ :‬حصول اطمینان از امنیت پرونده های سیستم‬
‫کنترل‬
‫عملیاتی‬
‫نرم‬
‫افزارهای به منظور کنترل نصب نرم افزار بر روی سیستم های عملیاتی ‪ ،‬روش های اجرایی‬
‫باید ایجاد شوند ‪.‬‬
‫حفاظت از داده های داده های آزمایش ی ‪ ،‬باید به دقت انتخاب شده ‪ ،‬و محافظت و کنترل شوند ‪.‬‬
‫آزمایش ی سیستم‬
‫کنترل دسترس ی به کد دسترس ی به کد منبع برنامه ‪ ،‬باید محدود شود ‪.‬‬
‫منبع برنامه‬
‫اکتساب ‪ ،‬توسعه و نگهداری سیستم های اطالعاتی‬
‫امنیت در فرآیندهای توسعه و پشتیبانی‬
‫مقصود ‪ :‬حفظ امنیت نرم افزار و اطالعات سیستم کاربردی‬
‫روش های اجرایی کنترل با استفاده از روش های اجرایی رسمی کنترل تغییر ‪ ،‬پیاده سازی تغییرات باید‬
‫کنترل شوند ‪.‬‬
‫تغییر‬
‫بازنگری فنی نرم افزارهای در هنگام تغییر سیستم های عامل ‪ ،‬به منظور حصول اطمینان از عدم وجود تاثیر‬
‫کاربردی پس از تغییرات سوء بر عملیات یا امنیت سازمانی ‪ ،‬نرم افزارهای کاربردی حیاتی کسب و کار باید‬
‫بازنگری و آزمایش شوند ‪.‬‬
‫سیستم عامل‬
‫محدود سازی در اعمال باید از دستکاری در بسته های نرم افزاری ‪ ،‬اجتناب شده ‪ ،‬محدود به تغییرات‬
‫تغییرات در بسته های نرم ضروری باشد ‪ ،‬و تمامی تغییرات باید به شدت کنترل شوند ‪.‬‬
‫افزاری‬
‫اکتساب ‪ ،‬توسعه و نگهداری سیستم های اطالعاتی‬
‫امنیت در فرآیندهای توسعه و پشتیبانی‬
‫مقصود ‪ :‬حفظ امنیت نرم افزار و اطالعات سیستم کاربردی‬
‫نشت اطالعات‬
‫باید از فرصت های نشت اطالعات ‪ ،‬پیشگیری شود ‪.‬‬
‫توسعه نرم افزار برون توسعه نرم افزار برون سپاری شده ‪ ،‬باید توسط سازمان ‪ ،‬نظارت و پایش شود‬
‫سپاری شده‬
‫اکتساب ‪ ،‬توسعه و نگهداری سیستم های اطالعاتی‬
‫مدیریت آسیب پذیری فنی‬
‫مقصود ‪ :‬کاهش مخاطرات منتج از سوء استفاده از آسیب پذیری های فنی منتشر شده ‪.‬‬
‫کنترل آسیب پذیری های اطالعات بهنگام در خصوص آسیب پذیری های فنی سیستم های اطالعاتی مورد‬
‫استفاده ‪ ،‬باید کسب شده ‪ ،‬قرار گرفتن سازمان در معرض چنین آسیب پذیری‬
‫فنی‬
‫هایی ارزیابی شده ‪ ،‬و معیارهای مناسبی برای نشانی دهی مخاطرات مربوطه ‪،‬‬
‫برگزیده شوند ‪.‬‬
‫الزامات مستند سازی‬
‫الف – بیانیه مدون شده خط مش ی مدیریت امنیت اطالعات و اهداف ‪.‬‬
‫ب – دامنه سیستم مدیریت امنیت اطالعات‬
‫ج – روش های اجرایی و کنترل هایی در پشتیبانی از سیستم مدیریت امنیت اطالعات‬
‫د‪ -‬تشریح متدولوژی برآورد مخاطرات‬
‫ه – گزارش برآورد مخاطرات‬
‫و‪ -‬طرح برطرف سازی مخاطرات‬
‫ز‪ -‬روش های اجرایی مدون شده مورد نیاز سازمان ‪ ،‬برای حصول اطمینان از موثر بودن طرح ریزی‬
‫‪ ،‬اجرا و کنترل فرآیندهای امنیت اطالعات و تشریح چگونگی سنجش اثربخش ی کنترل ها‬
‫ح‪ -‬سوابقی که توسط استاندارد ‪ 27001‬الزام شده اند‬
‫ط – بیانیه کاربست پذیری‬
‫کنترل مستندات‬
‫برای تعریف اقدامات مدیریتی زیر یک روش اجرایی مدون باید ایجاد شود ‪:‬‬
‫ تصویب مستندات از نظر تناسب آنها ‪ ،‬پیش از انتشار‬‫ بازنگری و به روز آوری مستندات ‪ ،‬بر حسب نیاز ‪ ،‬و تصویب مجدد مستندات‬‫ حصول اطمینان از اینکه تغییرات و وضعیت ویرایش جاری مستندات ‪ ،‬مشخص شده اند ‪.‬‬‫ حصول اطمینان از اینکه ویرایشهای معتبر مستندات قابل اجرا در مکان استفاده ‪ ،‬در‬‫دسترس می باشند ‪.‬‬
‫ حصول اطمینان از اینکه مستندات خوانا ‪ ،‬و به سهولت قابل تشخیص باقی می مانند‬‫ حصول اطمینان از اینکه مستندات در دسترس کسانی است که به آنها نیاز دارند ‪ ،‬و با توجه‬‫به روشهای اجرایی بکار گرفته شده برای طبقه بندی آنها ‪ ،‬منتقل ‪ ،‬ذخیره و نهایتا امحاء می‬
‫شوند‬
‫کنترل مستندات‬
‫برای تعریف اقدامات مدیریتی زیر یک روش اجرایی مدون باید ایجاد شود ‪:‬‬
‫ حصول اطمینان از اینکه مستندات با منشاء برون سازمانی ‪ ،‬شناسایی شده اند ‪.‬‬‫ حصول اطمینان از اینکه توزیع مستندات ‪ ،‬تحت کنترل است ‪.‬‬‫ پیشگیری از استفاده ناخواسته از مستندات منسوخ‬‫‪ -‬در صورتیکه به هر دلیلی گردآوری شوند ‪ ،‬به نحو مناسبی مورد شناسایی قرار می گیرند ‪.‬‬
‫مدیریت ارتباطات و عملیات‬
‫روش های اجرایی عملیاتی و مسئولیت ها‬
‫مقصود ‪ :‬حصول اطمینان از کارکرد صحیح و امن امکانات پردازش اطالعات‬
‫روش های اجرایی روش های اجرایی عملیاتی ‪ ،‬باید مدون شده ‪ ،‬نگهداری شوند و در‬
‫عملیاتی مدون‬
‫دسترس تمام کاربرانی که به آنها نیاز دارند ‪ ،‬قرار بگیرند ‪.‬‬
‫تغییر در امکانات و سیستم های پردازش اطالعات ‪ ،‬باید تحت کنترل‬
‫مدیریت تغییر‬
‫باشد ‪.‬‬
‫به منظور کاهش فرصت های دستکاری غیرعمد یا غیر مجاز ‪ ،‬یا‬
‫تفکیک وظایف‬
‫استفاده نابجا از دارایی های سازمان ‪ ،‬باید وظایف و حدود‬
‫مسئولیت ها ‪ ،‬تفکیک شوند ‪.‬‬
‫جداسازی امکانات امکانات توسعه ‪ ،‬آزمایش و اجرا ‪ ،‬باید به منظور کاهش مخاطرات‬
‫توسعه ‪ ،‬آزمایش و ناش ی از دسترس ی غیر مجاز یا تغییرات در سیستم عملیاتی ‪ ،‬تفکیک‬
‫شوند ‪.‬‬
‫اجرا‬
‫مدیریت ارتباطات و عملیات‬
‫مدیریت تحویل خدمت شخص ثالث‬
‫مقصود ‪ :‬پیاده سازی و نگهداری سطح مناسب امنیت اطالعات و تحویل خدمت ‪ ،‬در راستای‬
‫توافقنامه های تحویل خدمت شخص ثالث‬
‫تحویل خدمت‬
‫باید اطمینان حاصل شود که کنترلهای امنیتی ‪ ،‬تعاریف خدمت و سطوح‬
‫تحویل مندرج در توافقنامه تحویل خدمت شخص ثالث ‪ ،‬پیاده سازی و‬
‫اجرا شده و توسط شخص ثالث نگهداری می شوند ‪.‬‬
‫پایش و بازنگری خدمات ‪ ،‬گزارش ها و سوابق تهیه شده توسط شخص ثالث ‪ ،‬باید به‬
‫خدمات شخص ثالث صورت قاعده مند پایش و بازنگری شده ‪ ،‬و ممیزی ها باید به صورت‬
‫قاعده مند انجام شوند ‪.‬‬
‫مدیریت تغییرات در تغییرات در ارائه خدمات ‪ ،‬شامل نگهداری و بهبود خط مش ی های امنیت‬
‫خدمات شخص ثالث اطالعات ‪ ،‬روش های اجرایی و کنترل های موجود ‪ ،‬باید با توجه به میزان‬
‫بحرانی بودن سیستم های کسب و کار و فرآیندهای مرتبط و برآورد مجدد‬
‫مخاطرات ‪ ،‬مدیریت شوند ‪.‬‬
‫کنترل سوابق‬
‫سوابق بایستی ایجاد و نگهداری شده تا شواهد انطباق با الزامات و نیز اجرای موثر سیستم‬
‫مدیریت امنیت اطالعات ‪ ،‬فراهم گردد ‪ .‬آنها باید محافظت شده و تحت کنترل باشند ‪ .‬سیستم‬
‫مدیریت امنیت اطالعات باید به تمامی الزامات قانونی یا آئین نامه ای و تعهدات قراردادی مرتبط‬
‫‪ ،‬توجه داشته باشد ‪.‬‬
‫سوابق بایستی خوانا و به سهولت قابل شناسایی و بازیابی باقی بمانند ‪ .‬کنترل های مورد نیاز‬
‫شناسایی ‪ ،‬انبارش ‪ ،‬حفاظت ‪ ،‬بازیابی ‪ ،‬مدت نگهداری و امحای سوابق ‪ ،‬بایستی مدون و پیاده‬
‫سازی شوند ‪.‬‬
‫سوابق کارایی فرآیندها و کلیه حوادث امنیتی بارز مرتبط با سیستم مدیریت امنیت اطالعات ‪ ،‬باید‬
‫نگهداری شوند ‪.‬‬
‫دفتر بازدیدکنندگان ‪ ،‬گزارش های ممیزی و فرم های تکمیل شده ‪ ،‬مجاز سازی دسترس ی ‪ ،‬مثالهایی‬
‫از سوابق هستند ‪.‬‬
‫مدیریت ارتباطات و عملیات‬
‫نسخ پشتیبان‬
‫مقصود ‪ :‬حفظ یکپارچگی و دسترس پذیری اطالعات و امکانات پردازش اطالعات‬
‫ایجاد‬
‫اطالعات‬
‫پشتیبان‬
‫از نسخ پشتیبان از اطالعات و نرم افزار ‪ ،‬باید با توجه به خط مش ی توافق‬
‫شده نسخ پشتیبان ‪ ،‬به صورت منظم تهیه و آزمایش شوند ‪.‬‬
‫تعهد مدیریت‬
‫تعهد مدیریت بایستی از طریق موارد زیر قابل اثبات باشد ‪:‬‬
‫الف‪ -‬ایجاد یک خط مش ی سیستم مدیریت امنیت اطالعات‬
‫ب‪ -‬حصول اطمینان از اینکه اهداف و طرح های سیستم مدیریت امنیت اطالعات ‪ ،‬ایجاد شده‬
‫اند ‪.‬‬
‫ج‪ -‬ایجاد نقش ها و مسئولیت ها برای امنیت اطالعات‬
‫د‪ -‬ارائه اطالعات الزم به سازمان درباره اهمیت برآورده سازی اهداف امنیت اطالعات و تطابق با‬
‫خط مش ی امنیت اطالعات ‪ ،‬مسئولیت هایش در قبال قانون و نیاز به بهبود مستمر‬
‫ه‪ -‬فراهم آوری منابع کافی برای ایجاد ‪ ،‬پیاده سازی ‪ ،‬اجرا ‪ ،‬پایش ‪ ،‬بازنگری ‪ ،‬نگهداری و بهبود‬
‫سیستم مدیریت امنیت اطالعات‬
‫و‪ -‬تصمیم گیری درباره معیاری برای پذیرش مخاطرات و سطوح قابل قبول مخاطرات‬
‫ز‪ -‬حصول اطمینان از اینکه ممیزی های داخلی سیستم مدیریت امنیت اطالعات ‪ ،‬انجام می شوند‬
‫‪.‬‬
‫ح – انجام بازنگری های مدیریت سیستم مدیریت امنیت اطالعات‬
‫مدیریت منابع‬
‫منابع الزم برای موارد زیر باید تعیین و فراهم شوند ‪:‬‬
‫الف – ایجاد ‪ ،‬پیاده سازی ‪ ،‬اجرا ‪ ،‬پایش ‪ ،‬بازنگری ‪ ،‬نگهداری و بهبود سیستم مدیریت امنیت‬
‫اطالعات‬
‫ب‪ -‬حصول اطمینان از اینکه روش های اجرایی امنیت اطالعات ‪ ،‬الزامات کسب و کار را پشتیبانی‬
‫می کنند ‪.‬‬
‫ج – شناسایی و نشانی دهی الزامات قانونی و آئین نامه ای و تعهدات امنیتی قراردادی‬
‫د‪ -‬نگهداری امنیت در سطح مناسب ‪ ،‬از طریق بکارگیری صحیح تمامی کنترل های پیاده سازی شده‬
‫ه – انجام بازنگری ها در صورت لزوم و واکنش مناسب به نتایج این بازنگری ها‬
‫و‪ -‬آنجا که الزم است ‪ ،‬بهبود اثربخش ی سیستم مدیریت امنیت اطالعات‬
‫امنیت فیزیکی و محیطی‬
‫نواحی امن‬
‫مقصود ‪ :‬پیشگیری از دسترس ی فیزیکی غیر مجاز ‪ ،‬خسارت و تعارض به ابنیه و اطالعات سازمان‬
‫حصارهای امنیتی (موانعی از قبیل دیوارها ‪ ،‬درهای ورودی کنترل شده با‬
‫حصار امنیت فیزیکی‬
‫کارت یا میزهای پذیرش با خدمه) باید برای حفاظت نواحی حاوی اطالعات‬
‫و امکانات پردازش اطالعات ‪ ،‬استفاده شوند ‪.‬‬
‫کنترل های مداخل نواحی امن ‪ ،‬به منظور حصول اطمینان از اینکه فقط کارکنان مجاز ‪،‬‬
‫اجازه دسترس ی دارند ‪ ،‬باید توسط کنترل های ورودی مناسب ‪ ،‬حفاظت‬
‫فیزیکی‬
‫شوند ‪.‬‬
‫ایمن سازی دفاتر ‪ ،‬امنیت فیزیکی برای دفاتر ‪ ،‬اتاق ها و امکانات ‪ ،‬باید طراحی و بکار گرفته‬
‫شود‬
‫اتاق ها و امکانات‬
‫امنیت فیزیکی و محیطی‬
‫نواحی امن‬
‫محافظت در برابر برای مقابله با خسارت ناش ی از آتش ‪ ،‬سیل ‪ ،‬زمین لرزه ‪ ،‬انفجار ‪ ،‬آشوب‬
‫تهدیدهای بیرونی و داخلی ‪ ،‬و شکل های دیگری از حوادث طبیعی یا مصنوعی ‪ ،‬باید حفاظت‬
‫فیزیکی طراحی و بکار گرفته شود ‪.‬‬
‫محیطی‬
‫برای کار در نواحی امن ‪ ،‬باید حفاظت فیزیکی و خطوط راهنما ‪ ،‬طراحی و‬
‫کار در نواحی امن‬
‫بکار گرفته شوند ‪.‬‬
‫دسترس ی عمومی ‪ ،‬نقاط دسترس ی از قبیل نواحی تحویل و بارگیری و سایر نقاطی که افراد غیر‬
‫نواحی تحویل و بارگیری مجاز ممکن است وارد ساختمان ها شوند ‪ ،‬باید تحت کنترل قرار گرفته و‬
‫در صورت امکان ‪ ،‬برای جلوگیری از دسترس ی غیر مجاز ‪ ،‬از امکانات‬
‫پردازش اطالعات ‪ ،‬مجزا شوند ‪.‬‬
‫امنیت فیزیکی و محیطی‬
‫امنیت تجهیزات‬
‫مقصود ‪ :‬پیشگیری از اتالف ‪ ،‬زیان ‪ ،‬سرقت یا به خطر افتادن دارایی ها و ایجاد وقفه در فعالیت‬
‫های سازمان‬
‫استقرار و حفاظت تجهیزات باید (در مکان مناسب) مستقر یا محافظت شوند تا مخاطرات‬
‫ناش ی از تهدیدها و خطرات محیطی و فرصت های دسترس ی غیر مجاز ‪،‬‬
‫تجهیزات‬
‫کاهش یابند ‪.‬‬
‫تجهیزات باید در برابر قطع برق و سایر اختالالت ناش ی از نقص های‬
‫امکانات پشتیبانی‬
‫امکانات پشتیبانی ‪ ،‬محافظت شوند ‪.‬‬
‫کابل کش ی های برق و ارتباطات مورد استفاده برای انتقال داده یا‬
‫امنیت کابل کش ی‬
‫پشتیبانی از خدمات اطالعاتی ‪ ،‬باید در برابر قطع شدن یا وارد آمدن‬
‫خسارت ‪ ،‬محافظت شوند ‪.‬‬
‫امنیت فیزیکی و محیطی‬
‫نگهداری تجهیزات‬
‫تجهیزات باید به منظور حصول اطمینان از تداوم دسترس پذیری و‬
‫یکپارچگی شان ‪ ،‬به درستی نگهداری شوند ‪.‬‬
‫امنیت تجهیزات خارج برای تجهیزات خارج از محوطه ‪ ،‬باید با توجه به مخاطرات مختلف ناش ی‬
‫از انجام کار در خارج از ابنیه های سازمان ‪ ،‬امنیت برقرار شود ‪.‬‬
‫از ابنیه‬
‫امحاء یا استفاده تمام اجزای تجهیزاتی که دارای رسانه ذخیره سازی می باشند ‪ ،‬باید به‬
‫مجدد از تجهیزات به منظور حصول اطمینان از اینکه هر داده حساس و نرم افزار دارای حق‬
‫امتیاز ‪ ،‬پیش از امحاء ‪ ،‬حذف شده یا به شیوه امنی جانویس ی شده ‪،‬‬
‫صورت ایمن‬
‫بررس ی شوند ‪.‬‬
‫تجهیزات ‪ ،‬اطالعات یا نرم افزار ‪ ،‬نباید بدون مجوز قبلی ‪ ،‬از محوطه‬
‫خروج دارایی‬
‫خارج شوند ‪.‬‬
‫مدیریت ارتباطات و عملیات‬
‫مدیریت امنیت شبکه‬
‫مقصود ‪ :‬حصول اطمینان از حفاظت اطالعات در شبکه ها و حفاظت از زیر ساخت پشتیبانی کننده‬
‫کنترل های شبکه‬
‫شبکه ها باید به منظور حفاظت در برابر تهدیدها و برای نگهداری امنیت‬
‫سیستم ها و برنامه های کاربردی که از شبکه استفاده می کنند (شامل‬
‫اطالعات در گردش) ‪ ،‬به میزان کفایت ‪ ،‬مدیریت و کنترل شوند‪.‬‬
‫امنیت خدمات شبکه‬
‫ویژگی های امنیتی ‪ ،‬سطوح خدمت ‪ ،‬و الزامات مدیریتی تمامی خدمات‬
‫شبکه ‪ ،‬باید شناسایی شده و در هر توافقنامه خدمات شبکه ‪ ،‬اعم از‬
‫اینکه این خدمات در داخل مهیا شده یا برون سپاری شده اند ‪ ،‬لحاظ‬
‫شوند ‪.‬‬
‫مدیریت ارتباطات و عملیات‬
‫اداره کردن محیط های ذخیره سازی‬
‫مقصود ‪ :‬پیشگیری از افشاء ‪ ،‬دستکاری ‪ ،‬خروج یا تخریب غیر مجاز دارایی ها و وقفه در فعالیت های کسب و کار‬
‫مدیریت محیط‬
‫ذخیره سازی‬
‫جابجایی‬
‫های برای مدیریت محیط های ذخیره سازی قابل جابجایی ‪ ،‬باید روش های اجرایی ایجاد‬
‫قابل شوند ‪.‬‬
‫امحای محیط های ذخیره محیط های ذخیره سازی که دیگر مورد نیاز نیستند ‪ ،‬باید با بکارگیری روش های‬
‫سازی‬
‫اجرایی رسمی ‪ ،‬به صورت امن و محافظت شده ‪ ،‬امحاء شوند ‪.‬‬
‫روش های اجرایی باید روش های اجرایی جابجایی و انبارش اطالعات ‪ ،‬برای حفاظت این اطالعات در‬
‫برابر افشای غیر مجاز یا استفاده نابجا ‪ ،‬ایجاد شوند ‪.‬‬
‫جابجایی اطالعات‬
‫امنیت مستندات سیستم‬
‫مستندات سیستم باید در برابر دسترس ی غیر مجاز ‪ ،‬حفاظت شوند ‪.‬‬
‫آموزش ‪ ،‬آگاه سازی و صالحیت‬
‫موارد زیر باید به انجام برسد ‪:‬‬
‫الف – تعیین صالحیت های الزم برای کارکنانی که کارهای تاثیر گذار بر سیستم امنیت اطالعات‬
‫انجام می دهند ‪.‬‬
‫ب‪ -‬فراهم آوری آموزش یا انجام فعالیت های دیگر (همانند استخدام افراد الیق ) به منظور‬
‫برآورده سازی این نیازها‬
‫ج‪ -‬ارزیابی اثربخش ی اقدامات انجام شده‬
‫د‪ -‬نگهداری سوابق مربوط به تحصیالت ‪ ،‬آموزش ‪ ،‬مهارت ها ‪ ،‬تجارب و شایستگی ها‬
‫سازمان همچنین باید اطمینان حاصل نماید که تمامی کارکنان مرتبط ‪ ،‬نسبت به ارتباط و اهمیت‬
‫فعالیت های امنیت اطالعات خود و نحوه مشارکت در دستیابی به اهداف سیستم مدیریت امنیت‬
‫اطالعات ‪ ،‬آگاه هستند ‪.‬‬
‫کنترل دسترس ی‬
‫مدیریت دسترس ی کاربر‬
‫مقصود ‪ :‬حصول اطمینان از دسترس ی کاربر مجاز شده و پیشگیری از دسترس ی غیر مجاز به سیستم های‬
‫اطالعاتی‬
‫ثبت کاربر‬
‫برای اعطاء یا لغو دسترس ی به سیستم ها و خدمات اطالعاتی ‪ ،‬باید یک روش‬
‫اجرایی رسمی ثبت و حذف کاربر وجود داشته باشد ‪.‬‬
‫مدیریت اختیارات ویژه‬
‫تخصیص و بکارگیری اختیارات ویژه ‪ ،‬باید محدود و کنترل شده باشد‬
‫مدیریت کلمه عبور کاربر تخصیص کلمات عبور ‪ ،‬باید از طریق یک فرآیند مدیریتی رسمی ‪ ،‬کنترل شود ‪.‬‬
‫بازنگری حقوق دسترس ی مدیریت باید با استفاده از یک فرآیند رسمی ‪ ،‬حقوق دسترس ی کاربران را در‬
‫فواصل زمانی منظم ‪ ،‬بازنگری کند ‪.‬‬
‫کاربر‬
‫کنترل دسترس ی‬
‫مسئولیت های کاربر‬
‫مقصود ‪ :‬پیشگیری از دسترس ی کاربر غیر مجاز ‪ ،‬و به خطر افتادن یا سرقت اطالعات و امکانات پردازش‬
‫اطالعات‬
‫استفاده از کلمه عبور‬
‫کاربران باید در انتخاب و بکارگیری کلمه عبور ‪ ،‬به تبعیت از شیوه های امنیتی‬
‫صحیح ‪ ،‬ملزم شوند ‪.‬‬
‫تجهیزات بدون مراقبت کاربران باید اطمینان داشته باشند که تجهیزات بدون متصدی ‪ ،‬حفاظت‬
‫مناسبی دارند‬
‫کاربر‬
‫خط مش ی میز پاک و یک خط مش ی میز پاک برای کاغذها و محیط های ذخیره سازی قابل جابجایی و‬
‫یک خط مش ی صفحه پاک برای امکانات پردازش اطالعات ‪ ،‬باید مورد پذیرش‬
‫صفحه پاک‬
‫واقع شوند ‪.‬‬
‫کنترل دسترس ی‬
‫کنترل دسترس ی به شبکه‬
‫مقصود ‪ :‬پیشگیری از دسترس ی غیر مجاز به خدماتی که تحت شبکه ارائه می شوند ‪.‬‬
‫خط مش ی استفاده از کاربران باید تنها به خدماتی که مشخصا استفاده از آنها برایشان مجاز شده ‪،‬‬
‫دسترس ی داشته باشند ‪.‬‬
‫خدمات شبکه‬
‫تصدیق هویت کاربر برای برای کنترل دسترس ی کاربران راه دور ‪ ،‬باید روشهای مناسب تصدیق هویت بکار‬
‫گرفته شوند ‪.‬‬
‫اتصاالت بیرونی‬
‫شناسایی تجهیزات در شناسایی خودکار تجهیزات ‪ ،‬باید به عنوان وسیله ای برای تصدیق هویت‬
‫اتصاالت از مکان ها و تجهیزات مشخص ‪ ،‬در نظر گرفته شود ‪.‬‬
‫شبکه ها‬
‫حفاظت از درگاه عیب دسترس ی فیزیکی و منطقی به درگاه های عیب یابی و پیکر بندی ‪ ،‬باید تحت‬
‫یابی و پیکر بندی راه دور کنترل باشد ‪.‬‬
‫کنترل دسترس ی‬
‫کنترل دسترس ی به شبکه‬
‫مقصود ‪ :‬پیشگیری از دسترس ی غیر مجاز به خدماتی که تحت شبکه ارائه می شوند ‪.‬‬
‫تفکیک در شبکه ها‬
‫گروه های خدمات اطالعاتی ‪ ،‬کاربران و سیستم های اطالعاتی ‪ ،‬باید در شبکه‬
‫ها تفکیک شوند ‪.‬‬
‫کنترل اتصال به شبکه برای شبکه های اشتراکی ‪ ،‬به ویژه آنهایی که در محدوده های سازمان ‪ ،‬گسترش‬
‫می یابند ‪ ،‬قابلیت کاربران برای اتصال به شبکه ‪ ،‬باید در راستای خط مش ی‬
‫کنترل دسترس ی و الزامات برنامه های کاربردی کسب و کار ‪ ،‬محدود شود ‪.‬‬
‫کنترل مسیر یابی در باید کنترل های مسیریابی برای شبکه ها پیاده سازی شوند ‪ ،‬تا اطمینان حاصل‬
‫شود که اتصاالت رایانه ای و جریان های اطالعاتی ‪ ،‬خط مش ی کنترل دسترس ی‬
‫شبکه‬
‫به برنامه های کاربردی کسب و کار را نقض نمی کنند ‪.‬‬
‫کنترل دسترس ی‬
‫کنترل دسترس ی به سیستم عامل‬
‫مقصود ‪ :‬پیشگیری از دسترس ی غیر مجاز به سیستم های عامل ‪.‬‬
‫روشهای اجرایی ورود دسترس ی به سیستم های عامل ‪ ،‬باید از طریق یک روش اجرایی ورود امن به‬
‫سیستم ‪ ،‬کنترل شود ‪.‬‬
‫امن به سیستم‬
‫شناسایی و تصدیق تمامی کاربران باید یک شناسه یکتا (شناسه کاربر) برای استفاده شخص ی‬
‫خودشان داشته باشند و یک فن مناسب تصدیق هویت ‪ ،‬به منظور اثبات‬
‫هویت کاربر‬
‫هویت ادعا شده یک کاربر ‪ ،‬باید انتخاب شود ‪.‬‬
‫سیستم مدیریت کلمه سیستم های مدیریت کلمات عبور ‪ ،‬باید تعاملی بوده و کیفیت کلمات عبور را‬
‫عبور‬
‫تضمین نمایند ‪.‬‬
‫استفاده از برنامه های استفاده از برنامه های کمکی سیستم که ممکن است قادر به ابطال کنترل های‬
‫سیستم و برنامه کاربردی باشند ‪ ،‬باید محدود و به شدت کنترل شوند‬
‫کمکی سیستم‬
‫کنترل دسترس ی‬
‫کنترل دسترس ی به سیستم عامل‬
‫مقصود ‪ :‬پیشگیری از دسترس ی غیر مجاز به سیستم های عامل ‪.‬‬
‫خروج زمانی از الیه الیه های ارتباطی غیر فعال باید پس از یک بازه زمانی تعریف شده برای غیر‬
‫فعال بودن ‪ ،‬بسته و قطع شوند ‪.‬‬
‫ارتباطی‬
‫محدود‬
‫اتصال‬
‫سازی‬
‫زمان به منظور فراهم آوری امنیت بیشتر برای برنامه های کاربردی پرمخاطره ‪ ،‬باید‬
‫محدودیت هایی در زمان های اتصال اعمال گردد ‪.‬‬
‫کنترل دسترس ی‬
‫کنترل دسترس ی به برنامه های کاربردی و اطالعات‬
‫مقصود ‪ :‬پیشگیری از دسترس ی غیر مجاز به اطالعات نگهداری شده در سیستم های کاربردی‬
‫محدود سازی دسترس ی مطابق با خط مش ی کنترل دسترس ی تعریف شده ‪ ،‬باید دسترس ی کاربران و‬
‫کارکنان پشتیبانی کننده به اطالعات و کارکردهای سیستم کاربردی ‪ ،‬محدود‬
‫به اطالعات‬
‫شود ‪.‬‬
‫جدا سازی سیستم های سیستم های حساس باید یک محیط محاسباتی اختصاص ی (مجزا) ‪ ،‬داشته‬
‫باشند ‪.‬‬
‫حساس‬
‫کنترل دسترس ی‬
‫محاسبه سیار و کار از راه دور‬
‫مقصود ‪ :‬حصول اطمینان از امنیت اطالعات در هنگام استفاده از امکانات محاسبه سیار و کار از راه دور‬
‫محاسبه و ارتباطات به منظور حفاظت در برابر مخاطرات بکارگیری امکانات محاسبه و ارتباطات‬
‫سیار ‪ ،‬باید یک خط مش ی رسمی ایجاد و معیارهای امنیتی مناسبی اختیار شوند ‪.‬‬
‫سیار‬
‫کار از راه دور‬
‫برای فعالیت های کار از راه دور ‪ ،‬باید یک خط مش ی ‪ ،‬طرح های عملیاتی و‬
‫روش های اجرایی ‪ ،‬ایجاد و پیاده سازی شوند ‪.‬‬
‫امنیت منابع انسانی‬
‫پیش از اشتغال‬
‫مقصود ‪ :‬حصول اطمینان از اینکه کارکنان ‪ ،‬پیمانکاران و کاربران شخص ثالث ‪ ،‬مسئولیت هایشان را درک کرده‬
‫و برای نقش های در نظر گرفته شده برای ایشان ‪ ،‬مناسب می باشند ‪ ،‬و به منظور کاهش مخاطرات سرقت ‪،‬‬
‫سوء استفاده یا استفاده نابجا از امکانات‬
‫نقش ها و مسئولیت ها‬
‫نقش ها و مسئولیت های امنیتی کارکنان ‪ ،‬پیمانکاران و کاربران شخص ثالث ‪ ،‬باید‬
‫با توجه به خط مش ی امنیت اطالعات سازمان ‪ ،‬تعریف و مدون شوند ‪.‬‬
‫گزینش‬
‫برای تصدیق سوابق تمامی داوطلبین استخدام ‪ ،‬پیمانکاران ‪ ،‬و کاربران شخص ثالث‬
‫‪ ،‬باید بررس ی هایی با توجه به قوانین ‪ ،‬آئین نامه ها و اصول اخالقی مرتبط ‪ ،‬و‬
‫متناسب با الزامات کسب و کار ‪ ،‬طبقه بندی اطالعاتی که در دسترس قرار می گیرد و‬
‫مخاطرات دیده شده ‪ ،‬انجام شوند ‪.‬‬
‫ضوابط‬
‫استخدام‬
‫و‬
‫شرایط کارکنان ‪ ،‬پیمانکاران و کاربران شخص ثالث ‪ ،‬باید به عنوان بخش ی از تعهد قراردادی‬
‫شان ‪ ،‬شرایط و ضوابط قرارداد استخدامیشان را که باید بیانگر مسئولیت های‬
‫ایشان و سازمان در قبال امنیت اطالعات باشد ‪ ،‬قبول و امضاء نمایند ‪.‬‬
‫امنیت منابع انسانی‬
‫حین خدمت‬
‫مقصود ‪ :‬حصول اطمینان از اینکه تمامی کارکنان ‪ ،‬پیمانکاران و کاربران شخص ثالث ‪ ،‬از تهدیدها و نگرانی های‬
‫امنیت اطالعات ‪ ،‬مسئولیت ها و تعهداتشان آگاه بوده و در انجام کارهای روزمره خود و به منظور کاهش‬
‫مخاطرات ناش ی از خطای انسانی ‪ ،‬برای پشتیبانی از خط مش ی امنیتی سازمان ‪ ،‬آماده شده اند ‪.‬‬
‫مسئولیت های مدیریت‬
‫مدیریت باید کارکنان ‪ ،‬پیمانکاران و کاربران شخص ثالث را به بکارگیری امنیت ‪ ،‬با‬
‫توجه به خط مش ی ها و روش های اجرایی ایجاد شده سازمان ‪ ،‬الزام نماید ‪.‬‬
‫آگاه سازی ‪ ،‬تحصیل و نمامی کارکنان سازمان و در صورت لزوم ‪ ،‬پیمانکاران و کاربران شخص ثالث ‪ ،‬آنجا‬
‫که به کارکرد شغلی ایشان مرتبط باشد ‪ ،‬باید در خصوص خط مش ی ها و روش‬
‫آموزش امنیت اطالعات‬
‫های اجرایی سازمان ‪ ،‬به صورت مناسب ‪ ،‬آموزش آگاه سازانه دیده و به طور منظم‬
‫‪ ،‬به روز شوند ‪.‬‬
‫فرآیند انضباطی‬
‫یک فرآیند انضباطی رسمی ‪ ،‬باید برای کارکنانی که مرتکب یک نقض امنیتی می‬
‫شوند ‪ ،‬وجود داشته باشد ‪.‬‬
‫امنیت منابع انسانی‬
‫خاتمه استخدام یا تغییر در شغل‬
‫مقصود ‪ :‬حصول اطمینان از اینکه کارکنان ‪ ،‬پیمانکاران و کاربران شخص ثالث ‪ ،‬به روش ی ضابطه مند سازمان را‬
‫ترک یا تغییر شغل می دهند ‪.‬‬
‫مسئولیت های خاتمه برای خاتمه دادن به خدمت یا تغییر شغل ‪ ،‬باید مسئولیت هایی به وضوح تعریف و‬
‫تخصیص داده شوند ‪.‬‬
‫خدمت‬
‫عودت دارایی ها‬
‫تمامی کارکنان ‪ ،‬پیمانکاران و کاربران شخص ثالث ‪ ،‬باید تمامی دارایی های سازمان‬
‫را که در اختیارشان می باشد ‪ ،‬به محض خاتمه استخدام ‪ ،‬قرارداد یا توافقنامه‬
‫شان ‪ ،‬به سازمان عودت دهند ‪.‬‬
‫حذف حقوق دسترس ی‬
‫حقوق دسترس ی تمامی کارکنان ‪ ،‬پیمانکاران و کاربران شخص ثالث به اطالعات و‬
‫امکانات پردازش اطالعات ‪ ،‬باید به محض خاتمه استخدام ‪ ،‬قرارداد یا توافقنامه‬
‫شان ‪ ،‬حذف شده یا به محض تغییر شغل ‪ ،‬تنظیم شود ‪.‬‬
‫ممیزی داخلی‬
‫سازمان باید ممیزی های داخلی سیستم مدیریت امنیت اطالعات را در فواصل زمانی طرح ریزی‬
‫شده انجام دهد تا معین کند که آیا اهداف کنترلی ‪ ،‬کنترل ها ‪ ،‬فرآیندها و روش های اجرایی‬
‫سیستم مدیریت امنیت اطالعات ‪:‬‬
‫الف – با الزامات این استاندارد و مقررات و قوانین مرتبط انطباق دارند ‪.‬‬
‫ب‪ -‬با الزامات شناسایی شده امنیت اطالعات ‪ ،‬انطباق دارند ‪.‬‬
‫ج‪ -‬به طرز اثربخش ی پیاده سازی شده و نگهداری می شوند‬
‫د – آنگونه که انتظار می رود ‪ ،‬اجرا می شوند ‪.‬‬
‫یک برنامه ممیزی ‪ ،‬با در نظر گرفتن وضعیت و اهمیت فرآیندها و حیطه های مورد ممیزی و‬
‫همچنین نتایج ممیزی های قبلی ‪ ،‬باید طرح ریزی گردد ‪.‬‬
‫تذکرات مهم در ممیزی‬
‫‬‫‬‫‬‫‬‫‪-‬‬
‫‪-‬‬
‫معیار ‪ ،‬دامنه ‪ ،‬تواتر و روشهای ممیزی باید تعریف گردند ‪.‬‬
‫انتخاب ممیزان و انجام ممیزی ها ‪ ،‬باید واقع بینی و بی طرفی فرآیند ممیزی را تضمین نماید ‪.‬‬
‫ممیزان نباید کار خودشان را ممیزی نمایند ‪.‬‬
‫مسئولیت ها و الزامات برای طرح ریزی و انجام ممیزی ها ‪ ،‬و گزارش نتایج و نگهداری سوابق‬
‫باید در یک روش اجرایی مدون تعریف شده باشند ‪.‬‬
‫مدیر مسئول حیطه ای که مورد ممیزی قرار می گیرد ‪ ،‬باید از این بابت که اقدامات الزم برای‬
‫رفع عدم انطباقهای یافته شده و علل آنها ‪ ،‬بدون تاخیر بی مورد انجام می شوند ‪ ،‬اطمینان‬
‫حاصل نماید ‪.‬‬
‫فعالیت های پیگیری باید شامل تصدیق اقدامات انجام شده و گزارش دهی نتایج تصدیق‬
‫باشد ‪.‬‬
‫انطباق‬
‫انطباق با خط مش ی ها و استانداردهای امنیتی ‪ ،‬و انطباق فنی‬
‫مقصود ‪ :‬حصول اطمینان از انطباق سیستم ها با خط مش ی و استانداردهای امنیتی سازمانی‬
‫انطباق با خط مش ی ها و برای حصول انطباق با خط مش ی ها و استانداردهای امنیتی ‪ ،‬مدیران باید از اینکه‬
‫تمامی روشهای اجرایی امنیتی ‪ ،‬در حیطه مسئولیت شان ‪ ،‬به درستی اجرا می‬
‫استانداردهای امنیتی‬
‫شوند ‪ ،‬اطمینان حاصل نمایند ‪.‬‬
‫به منظور انطباق با استانداردهای پیاده سازی امنیت ‪ ،‬باید سیستم های‬
‫بررس ی انطباق فنی‬
‫اطالعاتی به طور منظم بررس ی شوند ‪.‬‬
‫انطباق‬
‫مالحظات ممیزی سیستم های اطالعاتی‬
‫مقصود ‪ :‬بیشینه کردن اثربخش ی و کمینه کردن اختالل در فرآیند ممیزی سیستم های اطالعاتی‬
‫کنترل های ممیزی الزامات و فعالیتهای ممیزی مرتبط با بررس ی های سیستم های عملیاتی ‪ ،‬باید به‬
‫دقت طرح ریزی و مورد توافق قرار گیرند تا مخاطرات ناش ی از توقف در فرآیندهای‬
‫سیستم های اطالعاتی‬
‫کسب و کار ‪ ،‬کمینه شوند ‪.‬‬
‫حفاظت از ابزارهای به منظور پیشگیری از هر گونه استفاده نابجا یا به خطر افتادن محتمل ‪ ،‬دسترس ی‬
‫ممیزی سیستم های به ابزارهای ممیزی سیستم های اطالعاتی ‪ ،‬باید محافظت شده باشد ‪.‬‬
‫اطالعاتی‬
‫بازنگری مدیریت‬
‫مدیریت باید سیستم مدیریت امنیت اطالعات سازمان را در فواصل زمانی طرح ریزی شده (حداقل‬
‫یک بار در سال ) ‪ ،‬مورد بازنگری قرار دهد تا از تداوم تناسب ‪ ،‬کفایت و اثربخش ی آن ‪ ،‬اطمینان‬
‫حاصل نماید ‪.‬‬
‫این بازنگری باید بررس ی موقعیتهای بهبود و نیاز به اعمال تغییرات در سیستم مدیریت امنیت‬
‫اطالعات ‪ ،‬از جمله خط مش ی و اهداف امنیت اطالعات را شامل گردد ‪ .‬نتایج بازنگری ها باید به‬
‫وضوح مدون شده و سوابق آن نگهداری شوند ‪.‬‬
‫ورودیهای بازنگری مدیریت‬
‫الف‪ -‬نتایج ممیزی ها و بازنگری های سیستم مدیریت امنیت اطالعات‬
‫ب‪ -‬بازخورهای طرف های ذینفع‬
‫ج‪ -‬فنون ‪ ،‬محصوالت یا روشهای اجرایی که می توانند برای بهبود اثربخش ی و کارایی سیستم‬
‫مدیریت امنیت اطالعات در سازمان ‪ ،‬مورد استفاده قرار گیرند ‪.‬‬
‫د‪ -‬وضعیت اقدامات اصالحی و پیشگیراته‬
‫ه‪ -‬آسیب پذیری ها یا تهدیداتی که در برآورد مخاطرات قبلی ‪ ،‬به طور مناسب نشانی دهی نشده‬
‫اند ‪.‬‬
‫و‪ -‬نتایج حاصل از اندازه گیری های اثربخش ی‬
‫ز‪ -‬اقدامات پیگیرانه از بازنگری های قبلی مدیریت‬
‫ح‪ -‬کلیه تغییراتی که می توانند سیستم مدیریت امنیت اطالعات را تحت تاثیر قرار دهند‬
‫ط‪ -‬توصیه هایی برای بهبود‬
‫خروجیهای بازنگری مدیریت‬
‫الف‪ -‬بهبود اثربخش ی سیستم مدیریت امنیت اطالعات‬
‫ب‪ -‬بروز آوری برآورد مخاطرات و طرح برطرف سازی مخاطرات‬
‫ج‪ -‬اصالح روش های اجرایی و کنترل هایی که بر امنیت اطالعات اثر می گذارند ‪ ،‬در صورت لزوم‬
‫پاسخ به رویدادهای درونی و بیرونی که ممکن است به سیستم مدیریت امنیت اطالعات آسیب‬
‫برسانند‬
‫د‪ -‬نیاز به منابع‬
‫ه – بهبود اینکه چگونه اثربخش ی کنترل ها اندازه گیری شده اند ‪.‬‬
‫تغییراتی که باعث آسیب سیستم می شوند‬
‫الف‪ -‬الزامات کسب و کار‬
‫ب‪ -‬الزامات امنیتی‬
‫ج‪ -‬فرآیندهای کسب و کار موثر در الزامات موجود کسب و کار‬
‫د – الزامات آئین نامه ای یا قانونی‬
‫ه – تعهدات قراردادی‬
‫و‪ -‬سطوح مخاطرات و ‪ /‬یا معیاری برای پذیرش مخاطرات‬
‫بهبود مستمر‬
‫سازمان باید به طور مستمر ‪ ،‬اثربخش ی سیستم مدیریت امنیت اطالعات را از‬
‫طریق بکارگیری خط مش ی امنیت اطالعات ‪ ،‬اهداف امنیت اطالعات ‪ ،‬نتایج‬
‫ممیزی ‪ ،‬تجزیه و تحلیل رویدادهای پایش شده ‪ ،‬اقدامات اصالحی و پیشگیرانه و‬
‫بازنگری مدیریت ‪ ،‬بهبود بخشد ‪.‬‬
‫انطباق‬
‫انطباق با الزامات قانونی‬
‫مقصود ‪ :‬پرهیز از نقض هر نوع قانون ‪ ،‬مقررات ‪ ،‬تعهدات آئین نامه ای یا قراردادی و هر الزام امنیتی‬
‫شناسایی قوانین قابل تمامی مقررات ‪ ،‬الزامات آئین نامه ای و قراردادی مرتبط و رویکرد سازمان نسبت‬
‫به برآورده سازی این الزامات ‪ ،‬باید برای هر سیستم اطالعاتی و سازمان ‪ ،‬به‬
‫اجرا‬
‫وضوح تعریف شده ‪ ،‬مدون شده و به روز نگهداشته شوند ‪.‬‬
‫حقوق دارایی فکری به منظور حصول اطمینان از انطباق با الزامات قانون گزار ‪ ،‬الزامات آئین نامه ای‬
‫و قراردادی در استفاده از کاالیی که ممکن است دارای حقوق دارایی فکری باشد‬
‫(‪)IPR‬‬
‫‪ ،‬و در هنگام استفاده از محصوالت نرم افزاری دارای حقوق تجاری ‪ ،‬روش های‬
‫‪INTELLECTUAL‬‬
‫اجرایی مناسب ‪ ،‬باید پیاده سازی شوند ‪.‬‬
‫‪PROPERTY‬‬
‫‪RIGHTS‬‬
‫انطباق‬
‫انطباق با الزامات قانونی‬
‫مقصود ‪ :‬پرهیز از نقض هر نوع قانون ‪ ،‬مقررات ‪ ،‬تعهدات آئین نامه ای یا قراردادی و هر الزام امنیتی‬
‫حفاظت‬
‫سازمانی‬
‫از‬
‫سوابق سوابق مهم ‪ ،‬باید با توجه به مقررات ‪ ،‬الزامات آئین نامه ای ‪ ،‬قراردادی و کسب‬
‫و کار ‪ ،‬در برابر گم شدن ‪ ،‬تخریب و تحریف ‪ ،‬محافظت شوند ‪.‬‬
‫حفاظت داده ها و حریم حفاظت داده ها و حریم خصوص ی باید آنگونه که در قوانین و آئین نامه های‬
‫اطالعات مرتبط ‪ ،‬و در صورت قابلیت اعمال ‪ ،‬شرایط قراردادی ‪ ،‬الزام شده ‪ ،‬تضمین‬
‫خصوص ی‬
‫شود ‪.‬‬
‫شخص ی‬
‫پیشگیری از استفاده کاربران باید از بکارگیری امکانات پردازش اطالعات برای مقاصد غیر مجاز ‪،‬‬
‫نابجا از امکانات پردازش بازداشته شوند ‪.‬‬
‫اطالعات‬
‫قواعد‬
‫رمزنگاری‬
‫کنترل‬
‫های کنترل های رمز نگاری در انطباق با تمامی توافقنامه ها ‪ ،‬قوانین و آئین نامه های‬
‫مرتبط ‪ ،‬بکار گرفته شوند ‪.‬‬
‫اقدام اصالحی‬
‫سازمان باید اقدامی را برای رفع علت عدم انطباق ها با الزامات سیستم مدیریت امنیت اطالعات‬
‫‪ ،‬به منظور پیشگیری از رخداد مجدد آنها ‪ ،‬به عمل آورد ‪ .‬روش اجرایی مدون برای اقدام اصالحی‬
‫‪ ،‬باید الزامات ذیل را تعریف نمایند ‪:‬‬
‫الف – شناسایی عدم انطباقها‬
‫ب – تعیین علل عدم انطباقها‬
‫ج‪ -‬ارزیابی نیاز به اقداماتی که اطمینان دهند ‪ ،‬عدم انطباقها ‪ ،‬مجددا رخ نمی دهند ‪.‬‬
‫د‪ -‬تعیین و انجام اقدام اصالحی مورد نیاز‬
‫ه‪ -‬ثبت سوابق نتایج اقدام انجام شده‬
‫و – بازنگری اقدام اصالحی انجام شده‬
‫اقدام پیشگیرانه‬
‫سازمان باید اقدامی را برای رفع علت عدم انطباقهای بالقوه با الزامات سیستم مدیریت امنیت‬
‫اطالعات ‪ ،‬به منظور پیشگیری از رخداد آنها ‪ ،‬تعیین کند ‪ .‬اقدامات پیشگیرانه باید متناسب با تاثیر‬
‫مشکالت بالقوه باشند ‪ .‬روش اجرایی مدون برای اقدام پیشگیرانه ‪ ،‬باید الزامات ذیل را تعریف‬
‫نماید ‪:‬‬
‫الف – شناسایی عدم انطباقهای بالقوه و علل آنها‬
‫ب‪ -‬ارزیابی نیاز به اقدامی که از رخداد عدم انطباقها ‪ ،‬پیشگیری می کند ‪.‬‬
‫ج‪ -‬تعیین و پیاده سازی اقدام پیشگیرانه مورد نیاز‬
‫د‪ -‬ثبت سوابق نتایج اقدام انجام شده‬
‫ه‪ -‬بازنگری اقدام پیشگیرانه انجام شده‬
‫تذکرات‬
‫‬‫‬‫‪-‬‬
‫سازمان باید مخاطرات تغییر یافته و الزامات اقدام پیشگیرانه معطوف به مخاطراتی که به‬
‫صورت بارز تغییر یافته اند را شناسایی نماید ‪.‬‬
‫اولویت اقدامات پیشگیرانه باید بر اساس نتایج برآورد مخاطرات تعیین شود‬
‫اقدام برای پیشگیری از عدم انطباق ‪ ،‬غالبا با ارزش تر و موثرتر از اقدام اصالحی است ‪.‬‬