متن فارسی استاندارد ایزو 27001:2013 ( متن فارسی استاندارد ISO/IEC27001:2013 ) سیستم مدیریت امنیت اطلاعات
متن فارسی استاندارد ایزو 27001:2013 الزامات سیستم مدیریت امنیت اطلاعات راتشریح میکند.
درعصر فناوری اطلاعات امروز ، امنیت اطلاعات و پیاده سازی یک سیستم اثر بخش امنیتی ، امری لازم و ضروری برای هرمجموعه ایی است.
سیستم مدیریت امنیت اطلاعات یکی ازسیستمهای مدیریتی بسیار مفید برای تمامی سازمانهای فعال درزمینه IT و سازمانهاییکه بااطلاعات و داده ها سر و کار دارند مفید است.
ایزو 27001 و اهداف
هدف ازپیاده سازی سیستم مدیریت امنیت اطلاعات ISO/IEC 27001:2013 ، ایجاد قابلیت اعتماد ، یکپارچه سازی و ایجاد قابلیت دسترسی است. ایجاد قابلیت اعتمادبه این معنی میباشدکه این سیستم تضمین میکند ، اطلاعات موجود تنها دراختیار افراد و پرسنل مجاز و مورد تایید جهت دسترسی قرار میگیرد. یکپارچه سازی نیزبه حفاظت ازدقت و کامل بودن اطلاعات و روشهای پردازش اطلاعات میپردازد. سیستم مدیریت امنیت اطلاعات باایجاد قابلیت دسترسی نیزاین اطمینان رابه سازمان و مدیران میدهدکه اطلاعات و خدمات حیاتی ، تنها درصورت نیازدراختیار کاربران مجاز قرار میگیرد.
ازمزایای پیاده سازی سیستم مدیریت امنیت اطلاعات ISO/IEC 27001:2013 میتوان موارد زیررا اشاره کرد:
- جلوگیری ازخارج شدن اطلاعات و داده های تکنولوژی درساخت محصولات یاخدمات به خارج ازمجموعه
- مدیریت صحیح و اصولی ریسکها و هزینه ها
- ایجاد محیط امن اطلاعاتی برای پرسنل و کاربران
- کاهش نقصهای امنیتی
- افزایش اعتماد و اطمینان مشتریان و کارفرمایان
- و…
گواهینامه ایزو 27001
گواهینامه ایزو 27001 گواهینامه ISO/IEC27001:2013 همچون خیلی گواهینامه های ایزو دیگر قابلیت صدور دارد. مرکز اطلاع رسانی سیستم کاران باکادری متخصص و مجرب بهترین راهنمای شما درخصوص گرفتن گواهینامه های سیستم مدیریت امنیت اطلاعات ISO27001 متناسب بانوع زمینه فعالیت ، نیاز واقعی و بودجه تعریف شده خودتان میباشد.
لازم بذکر است برای پیاده سازی این سیستم بهتر است ، ابتدا ویا همزمان سیستم مدیریت کیفیت ISO9001 نیز پیاده سازی و اجرا گردد. جهت کسب اطلاعات بیشتر درمورد استاندارد سیستم مدیریت کیفیت لطفا اینجارا کلیک بفرمایید.
متن فارسی استاندارد ایزو 27001 با ویرایش 2013 به شرح زیر می باشد.
پیشگفتار
سازمان بین المللی استاندارد ( ISO ) و کمیسیون بین المللی الکتروتکنیک (IEC) ، سیستمی تخصصی را جهت استانداردسازی در سطح دنیا ایجاد نموده اند . نهادهای ملی عضو ISO یا IEC، توسط کمیته های فنی تدوین شده از سوی سازمان مربوطه شان ، در تدوین استانداردهای بین المللی مشارکت می کنند و به زمینه های خاص فعالیت های فنی می پردازند. کمیته های فنی ISO و IEC، در زمینه هایی با منافع مشترک ، با همدیگر همکاری میکنند . سایر سازمان های بین المللی ، دولتی یا غیردولتی وابسته به ISO و IEC نیز در این زمینه مشارکت دارند . ISO و IEC، کمیته فنی مشترکی را در حوزه فناوری اطلاعات تحت عنوان ISO/IEC JTC 1 تشکیل داده اند .
پیشنویس استانداردهای بین المللی ، مطابق با قوانین مندرج در بخش 2 دستورالعمل های ISO/IEC تهیه شده است . وظیفه اصلی کمیته فنی مشترک ، آماده سازی استانداردهای بین المللی است . پیشنویس استانداردهای بین المللی مورد تأیید کمیته فنی مشترک ، برای رأی گیری در اختیار نهادهای ملی قرار می گیرد. انتشار به عنوان استاندارد بین المللی منوط به تأیید حداقل75% نهادهای ملی رأی دهنده است.
به این احتمال که ممکن است برخی عناصر این سند ، تحت حقوق ثبت اختراع باشند هم توجه شده است . ISO وIEC مسئولیتی در قبال شناسایی هر یک یا همه این حقوق ندارند.
ISO/IEC 27001 توسط کمیته فرعی SC 27، فنون امنیتی فناوری اطلاعات ، زیرمجموعه کمیته فنی مشترک ISO/IEC JTC 1، فناوری اطلاعات ، تهیه شده است.
این ویرایش دوم ، جایگزین و باطل کننده ویرایش اول (ISO/IEC 27001:2005) است که از نظر فنی مورد بازنگری قرار گرفته است.
0 – مقدمه
1-0-کلیات
این استاندارد بین المللی ، به منظور ارائه الزاماتی برای استقرار ، پیاده سازی ، نگهداری و بهبود مستمر یک سیستم مدیریت امنیت اطلاعات تهیه شده است . پذیرش یک سیستم مدیریت امنیت اطلاعات ، یک تصمیم استراتژیک برای یک سازمان است . استقرار و پیاده سازی سیستم مدیریت امنیت اطلاعات در یک سازمان ، تحت تأثیر نیازها و اهداف سازمان ، الزامات امنیتی ، فرایندهای سازمانی به کار گرفته شده و اندازه و ساختار سازمان قرار دارد . انتظار می رود تمامی این عوامل اثرگذار ، در طول زمان دچار تغییر شوند.
سیستم مدیریت امنیت اطلاعات ، با به کارگیری یک فرایند مدیریت مخاطرات ، از محرمانگی ، صحت و دسترس پذیری اطلاعات محافظت می کند و به طرف های ذینفع این اطمینان را می دهد که مخاطرات ، به میزان کافی مدیریت می شوند .
توجه داشته باشید که سیستم مدیریت امنیت اطلاعات ، با فرایندهای سازمان و ساختار مدیریتی کلان ، یکپارچه بوده و بخشی از آنها است و همچنین امنیت اطلاعات در طراحی ، فرایندها ، سیستم های اطلاعاتی و کنترل ها لحاظ می شود . انتظار می رود که پیاده سازی یک سیستم مدیریت امنیت اطلاعات ، منطبق با نیازهای سازمان باشد .
این استاندارد بین المللی می تواند توسط طرفهای درونی و بیرونی ، به منظور ارزیابی توانایی یک سازمان در فراهم آوری الزامات امنیت اطلاعات خود ، مورد استفاده قرار گیرد .
ترتیب ارایه الزامات در این استاندارد بین المللی ، بیان کننده اهمیت یا ترتیب پیاده سازی آنها نیست . موارد فهرست شده ، به منظور ارجاع های بعدی ذکر شده اند .
استاندارد ISO/IEC 27000، نمای کلی و واژگان سیستم های مدیریت امنیت اطلاعات را توصیف نموده و مرجع خانواده استاندارد سیستم مدیریت امنیت اطلاعات ( شامل ISO/IEC 270032، ISO/IEC 270043 و 4ISO/IEC 27005 ) به همراه اصطلاحات و تعاریف مرتبط با آن است .
2-0-سازگاری با سایر استانداردهای سیستم مدیریت
این استاندارد بین المللی از ساختار سطح بالا ، عناوین یکسان در بندهای فرعی ، متن یکسان ، اصطاحات مشترک و تعاریف اصلی موجود در پیوست SL بخش 1 دستورالعمل های ISO/IEC ، مکمل های تلفیقی ISO استفاده می کند و در نتیجه با سایر استانداردهای سیستم مدیریت که پیوست SL را پذیرفته اند ، سازگار است .
این رویکرد مشترک که در پیوست SL تعریف شده است ، برای آن دسته از سازمان هایی که درنظر دارند یک سیستم مدیریت
واحد را در راستای فراهم آوری الزامات دو یا چند استاندارد سیستم مدیریت اجرا کنند ، مفید خواهد بود .
فناوری اطلاعات – فنون امنیتی – سیستم های مدیریت امنیت اطلاعات – الزامات
1- هدف و دامنه کاربرد
این استاندارد بین المللی ، الزاماتی را برای استقرار ، پیاده سازی ، نگهداری و بهبود مستمر یک سیستم مدیریت امنیت اطلاعات در چارچوب سازمان ، مشخص می کند . این استاندارد بین المللی ، همچنین شامل الزاماتی برای ارزیابی و برطرف سازی مخاطرات امنیت اطلاعات ، متناسب با نیازهای سازمان است . الزامات تعیین شده در این استاندارد بین المللی ، عمومی بوده و در تمام سازمان ها ، صرفنظر از نوع ، اندازه یا ماهیت آنها ، قابل اعمال است . کنارگذاری هر یک از الزامات مشخص شده در بندهای 4 تا 10، چنانچه یک سازمان ادعای تطابق با این استاندارد بین المللی را داشته باشد ، مورد پذیرش نخواهد بود.
2- مراجع الزامی
مدارک الزامی زیر حاوی مقرراتی است که در متن این استاندارد ملی ایران به آنها ارجاع داده شده است . بدین ترتیب آن مقررات جزئی از این استاندارد محسوب می شوند .
در صورتی که به مدرکی با ذکر تاریخ انتشار ارجاع داده شده باشد ، اصلاحیه ها و تجدید نظر های بعدی آن مورد نظر این استاندارد ملی ایران نیست . در مورد مدارکی که بدون ذکر تاریخ انتشار به آن ها ارجاع شده است ، همواره آخرین تجدید نظر و اصلاحیه های بعدی آنها مورد نظر است .
استفاده از مراجع زیر برای این استاندارد الزامی است :
2-1-Iso/Iec 27000 , Information Technology – Security Techingues – Information Security Management Systems – Overview And Vocabulary
3- اصطلاحات و تعاریف
در راستای اهداف این سند ، اصطلاحات و تعاریف ذکر شده در ISO/IEC 27000 به کار می روند.
4- زمینه ی سازمان
1-4- درک سازمان و زمینه آن
سازمان باید موضوعات درونی و بیرونی که مرتبط با مقصود خود است و بر قابلیت آن ، جهت حصول نتایج تعیین شده سیستم مدیریت امنیت اطلاعات تاثیر گذار است را تعیین کند.
نکته : تعیین این مسایل به استقرار زمینه بیرونی و درونی سازمان که در بند 5-3 از استاندارد5 ISO 31000:2009 مطرح شده است ، اشاره دارد.
2-4- درک نیازها و انتظارات طرف های علاقمند
سازمان باید موارد زیر را مشخص کند :
الف ) طرف های علاقمند مرتبط با سیستم مدیریت امنیت اطلاعات ؛ و
ب ) الزامات این طرف های علاقمند در خصوص امنیت اطلاعات .
یادآوری : الزامات طرف های علاقمند ، ممکن است شامل الزامات قانونی ، مقررات تنظیمی و تعهدات قراردادی شود .
3-4- تعیین محدوده سیستم مدیریت امنیت اطلاعات
سازمان باید مرزها و کاربردپذیری سیستم مدیریت امنیت اطلاعات را به منظور استقرار محدوه خود ، تعیین کند .
سازمان باید هنگام تعیین این محدوده ، موارد زیر را درنظر بگیرد :
الف) مسایل بیرونی و درونی اشاره شده در بند 4-1 ؛
ب) الزامات اشاره شده در بند 4-2؛ و
ج) واسط ها و وابستگی های بین فعالیت هایی که توسط سازمان انجام میشوند و فعالیت هایی که توسط سازمان های دیگر انجام می شوند .
محدوه باید به صورت اطلاعات مستند ، در دسترس باشد .
4-4- سیستم مدیریت امنیت اطلاعات
سازمان باید یک سیستم مدیریت امنیت اطلاعات را مطابق با الزامات این استاندارد بین المللی استقرار ، پیاده سازی ، نگهداری و به طور مستمر بهبود بخشد .
5- رهبری
1-5- رهبری و تعهد
مدیریت ارشد باید رهبری و تعهد در رابطه با سیستم مدیریت امنیت اطلاعات را توسط موارد زیر نشان دهد:
الف) اطمینان از اینکه خط مشی امنیت اطلاعات و اهداف امنیت اطلاعات ، مستقر شده و سازگار با جهت گیری راهبردی سازمان است .
ب) اطمینان از یکپارچه شدن الزامات سیستم مدیریت امنیت اطلاعات در فرایندهای سازمان
ج) اطمینان از اینکه منابع مورد نیاز سیستم مدیریت امنیت اطلاعات ، در دسترس است .
د) ابلاغ اهمیت مدیریت امنیت اطلاعات اثربخش و اهمیت انطباق با الزامات سیستم مدیریت امنیت اطلاعات ؛
ه) اطمینان از اینکه سیستم مدیریت امنیت اطلاعات نتیجه ( های) مورد نظر خود را به دست می آورد.
و) هدایت و پشتیبانی افراد به منظور مشارکت در اثربخشی سیستم مدیریت امنیت اطلاعات ؛
ز) بهبود مستمر ؛ و
ح) پشتیبانی از سایر نقش های مدیریتی مرتبط جهت نشان دادن رهبری آنها ، به نحوی که در حوزه های مسئولیتی مرتبط اعمال گردد.
2-5- خط مشی
مدیریت ارشد باید یک خط مشی امنیت اطلاعات ایجاد کند که :
الف) متناسب با هدف سازمان باشد .
ب) شامل اهداف امنیت اطلاعات باشد ( به بند 6-2 مراجعه شود ) یا چارچوبی را برای تعیین اهداف امنیت اطلاعات فراهم کند .
ج) شامل تعهد به برآورده سازی الزامات کاربرد پذیر مرتبط با امنیت اطلاعات باشد ؛ و
د) شامل تعهد به بهبود مستمر سیستم مدیریت امنیت اطلاعات باشد .
خط مشی امنیت اطلاعات باید :
ه) به صورت اطلاعات مستند ، در دسترس باشد .
و) در داخل سازمان ابلاغ شده باشد ؛ و
ز) به طور مناسب ، در دسترس طرف های علاقمند باشد .
3-5- نقش ها ، مسئولیت ها و اختیارات سازمانی
مدیریت ارشد باید اطمینان حاصل کند که مسئولیت ها و اختیارات برای نقش های مرتبط با امنیت اطلاعات ، اختصاص یافته و ابلاغ شده است .
مدیریت ارشد باید مسئولیت و اختیارات را برای موارد زیر اختصاص دهد :
الف) حصول اطمینان از انطباق سیستم مدیریت امنیت اطلاعات با الزامات این استاندارد بین المللی ؛ و
ب) گزارش عملکرد سیستم مدیریت امنیت اطلاعات به مدیریت ارشد .
یادآوری : مدیریت ارشد میتواند مسئولیت ها و اختیاراتی را برای گزارش دهی عملکرد سیستم مدیریت امنیت اطلاعات در سازمان اختصاص دهد.
6- طرح ریزی
1-6- اقدامات جهت پرداختن به مخاطرات و فرصت ها
1-1-6- کلیات
هنگام طراحی سیستم مدیریت امنیت اطلاعات ، سازمان باید موارد اشاره شده در بند 4-1 و الزامات اشاره شده در بند 4-2 را مدنظر قرار داده و مخاطرات و فرصت هایی را با لحاظ کردن موارد زیر تعیین کند :
الف) حصول اطمینان از اینکه سیستم مدیریت امنیت اطلاعات می تواند به نتایج مورد نظر دست یابد .
ب) اجتناب یا کاهش تاثیرات نامطلوب ؛ و
ج) دستیابی به بهبود مستمر .
سازمان باید موارد زیر را طرح ریزی کند :
د) اقداماتی برای پرداختن به این مخاطرات و فرصت ها ؛ و
ه) چگونه:
- یکپارچه سازی و پیاده سازی این اقدامات را در فرایندهای سیستم مدیریت امنیت اطلاعات انجام دهد ؛ و
- اثربخشی این اقدامات را ارزشیابی کند .
2-1-6- ارزیابی مخاطرات امنیت اطلاعات
سازمان باید فرایند ارزیابی مخاطرات را تعریف نموده و به کار گیرد که :
الف) معیارهای مخاطرات امنیت اطلاعات را تعیین و نگهداری کند که شامل موارد زیر است :
- معیارهای پذیرش مخاطرات ؛ و
- معیارهایی برای انجام ارزیابی مخاطرات امنیت اطلاعات .
ب) تضمین کند که تکرار ارزیابی مخاطرات امنیت اطلاعات ، نتایج سازگار ، معتبر و مقایسه پذیر تولید می کند .
ج) مخاطرات امنیت اطلاعات را شناسایی کند :
- اعمال فرایند ارزیابی مخاطرات امنیت اطلاعات برای شناسایی مخاطرات مرتبط با از دست دادن محرمانگی ، یکپارچگی و دسترس پذیری و اطلاعات در محدوده سیستم مدیریت امنیت اطلاعات ؛ و
- شناسایی مالکان مخاطره .
د) مخاطرات امنیت اطلاعات را تحلیل کند :
- ارزیابی پیامدهای بالقوه که ممکن است در صورت تحقق مخاطرات شناسایی شده در بند 6-1-2 رخ دهد ؛
- ارزیابی واقع بینانه فرصت وقوع مخاطرات شناسایی شده در بند ج 6-1-2
- تعیین سطوح مخاطرات
ه) مخاطرات امنیت اطلاعات را ارزشیابی کند :
- مقایسه نتایج تحلیل مخاطرات با معیار معین شده مخاطرات در بند الف 6-1-2
- اولویت بندی مخاطرات تحلیل شده برای برطرف سازی مخاطرات .
سازمان باید اطلاعاتی مستند درباره فرایند ارزیابی مخاطرات امنیت اطلاعات نگهداری کند.
3-1-6- برطرف سازی مخاطرات امنیت اطلاعات
سازمان باید یک فرایند برطرف سازی مخاطرات امنیت اطلاعات را برای موارد زیر تعریف کرده وبه کار گیرد:
الف) انتخاب گزینه های مناسب برطرف سازی مخاطرات امنیت اطلاعات با در نظرگرفتن نتایج ارزیابی مخاطرات ؛
ب) تعیین همه کنترل هایی که برای پیاده سازی گزینه ( های ) انتخاب شده جهت برطرف سازی مخاطرات امنیت اطلاعات لازم هستند؛
یادرآوری : سازمان ها می توانند کنترل های مورد نیاز را طراحی کرده یا آن ها را از هر منبعی شناسایی کند .
ج) مقایسه کنترل های تعیین شده در بالا ( بند ب 6-1-3 ) با ان هایی که در پیوست الف هستند و اطمینان از اینکه هیچ کنترل مورد نیازی حذف نشده است .
یادآوری 1: پیوست الف شامل فهرست جامعی از اهداف کنترلی و کنترل ها است . استفاده کنندگان از این استاندارد بین المللی برای حصول اطمینان از اینکه هیچ یک از کنترل های ضروری نادیده گرفته نشده است ، به پیوست الف ارجاع داده می شوند .
یادآوری 2 : کنترل های انتخاب شده به طور ضمنی شامل اهداف کنترلی هستند . اهداف کنترلی و کنترل های فهرست شده در پیوست الف ، جامع نبوده و ممکن است اهداف کنترلی و کنترل های اضافی هم مورد نیاز باشد .
د) تهیه بیانیه کاربردپذیری که شامل کنترل های ضروری ( به زیر بند ب و ج بند 6-1-3 مراجعه شود ) و دلیل استفاده از آنها بدون درنظر گرفتن اینکه پیاده سازی شده یا نشده اند و توجیه کنارگذاری کنترل های پیوست الف باشد ، ایجاد نماید .
ه) یک طرح برطرف سازی مخاطرات امنیت اطلاعات را تدوین نماید ؛ و
و)دریافت تایید مالکان مخاطرات برای طرح برطرف سازی مخاطرات امنیت اطلاعات و پذیرش مخاطرات امنیت اطلاعات باقیمانده؛
سازمان باید اطلاعاتی مستند درباره فرایند برطرف سازی مخاطرات امنیت اطلاعات ، نگهداری کند .
یادآوری : فرایند ارزیابی و برطرف سازی مخاطرات امنیت اطلاعات در این استاندارد بین المللی ، با اصول و رهنمودهای کلی / عمومی موجود در 5ISO 31000 مطابقت دارد .
2-6- اهداف امنیت اطلاعات و طرحریزی برای دستیابی به آنها
سازمان باید اهداف امنیت اطلاعات را برای کارکردها و سطوح مرتبط ایجاد کند .
اهداف امنیت اطلاعات باید :
الف) با خط مشی امنیت اطلاعات ، سازگار باشند .
ب) قابل اندازه گیری باشند (در صورت عملی بودن) ؛
ج) الزامات قابل اجرای امنیت اطلاعات ، و نتایج ارزیابی مخاطرات و نتایج برطرف سازی مخاطرات را درنظر بگیرند .
د) ابلاغ شوند ؛ و
ه) در صورت نیاز ، به روز رسانی شوند .
سازمان باید اطلاعاتی مستند را درباره اهداف امنیت اطلاعات ، نگهداری کند .
سازمان باید هنگام طرح ریزی نحوه دستیابی به اهداف امنیت اطلاعات ، موارد زیر را تعیین کند :
و) چه کارهایی انجام خواهد شد .
ز) چه منابعی مورد نیاز خواهند بود .
ح) چه افرادی پاسخگو خواهند بود .
ط) چه زمانی تکمیل خواهد شد ؛ و
ی) نتایج ، چگونه ارزشیابی خواهند شد .
7- پشتیبانی
1-7- منابع
سازمان باید منابع مورد نیاز به منظور استقرار ، پیاده سازی ، نگهداری و بهبود مستمر سیستم مدیریت امنیت اطلاعات را تعیین و فراهم کند .
2-7- صلاحیت
سازمان باید :
الف) صلاحیت های مورد نیاز افرادی که تحت کنترل سازمان کار می کنند و بر روی عملکرد امنیت اطلاعات تأثیرگذار هستند را تعیین کند .
ب) اطمینان حاصل کند که این افراد ، بر اساس تحصیلات ، آموزش ها یا تجربیات مناسب ، صلاحیت دارند .
ج) هر جا که امکانپذیر است ، اقدام هایی را به منظور کسب صلاحیت لازم انجام داده و اثربخشی اقدام های انجام شده را ارزشیابی کند ؛ و
د) اطلاعات مستند مناسب را به عنوان مدرکی مبنی بر صلاحیت ، نگهداری کند .
نکته : اقدامات امکانپذیر ، به طور مثال می توانند شامل تامین آموزش ها ، مربی گری ، یا جابه جایی کارکنان موجو ، یا اشتغال یا برون سپاری به افراد شایسته ، باشد.
3-7- آگاه سازی
افرادی که تحت کنترل سازمان فعالیت می کنند باید نسبت به موارد زیر آگاه باشند :
الف) خط مشی امنیت اطلاعات ؛
ب) سهم آنها در اثربخشی سیستم مدیریت امنیت اطلاعات ، شامل منافع حاصل از بهبود عملکرد امنیت اطلاعات ؛ و
ج) پیامدهای عدم انطباق با الزامات سیستم مدیریت امنیت اطلاعات .
4-7- ارتباطات
سازمان باید نیاز به ارتباطات درونی و بیرونی را در رابطه با سیستم مدیریت امنیت اطلاعات تعیین کند که شامل موارد زیر میشود :
الف) در مورد چه موضوعاتی ارتباط برقرار شود .
ب) چه مواقعی ارتباط برقرار شود .
ج) با چه کسانی ارتباط برقرار شود .
د) چه کسانی باید ارتباط را برقرار کنند ؛ و
ه) فرایندهایی که به واسطه آنها باید ارتباطات برقرار شود.
5-7- اطلاعات مستند
1-5-7- کلیات
سیستم مدیریت امنیت اطلاعات سازمان باید شامل این موارد باشد :
الف) اطلاعات مستند مورد نیاز این استاندارد بین المللی ؛ و
ب) اطلاعات مستندی که از سوی سازمان برای اثربخشی سیستم مدیریت امنیت اطلاعات ، ضروری تشخیص داده شده است .
یادآوری : گستره مستندسازی سیستم مدیریت امنیت اطلاعات می تواند به دایل زیر برای هر سازمان متفاوت باشد :
- اندازه سازمان و نوع فعالیت ها ، فرایندها ، محصولات و خدمات آن ؛
- پیچیدگی فرایندها و تعاملات آنها ؛ و
- صلاحیت کارکنان .
2-5-7- ایجاد و به روزرسانی
هنگام ایجاد و به روزرسانی اطلاعات مستند ، سازمان باید از مناسب بودن موارد زیر اطمینان حاصل کند :
الف) شناسایی و توصیف ( مثلاً یک عنوان، تاریخ، نویسنده یا شماره ارجاع ) ؛
ب) قالب ( مثلاً زبان ، نسخه نرم افزار ، گرافیک ) و رسانه ( مثلاً کاغذی ، الکترونیکی ) ؛ و
ج) بازنگری و تایید مناسب بودن و کفایت آنها .
3-5-7- کنترل اطلاعات مستند
اطلاعات مستند مورد نیاز سیستم مدیریت امنیت اطلاعات و این استاندارد بین المللی باید کنترل شوند تا اطمینان حاصل شود :
الف) این اطلاعات در زمان و مکانی که به آن احتیاج است در دسترس و مناسب برای استفاده هستند ، ؛ و
ب) به میزان کافی حفاظت می شوند ( به عنوان مثال در برابر فقدان محرمانگی ، استفاده نادرست یا فقدان یکپارچگی) .
به منظور کنترل اطلاعات مستند ، سازمان باید در صورت قابلیت اجرا ، به فعالیت های زیر بپردازد :
ج) توزیع ، دسترسی ، بازیابی و استفاده ؛
د) ذخیره سازی و محافظت ، شامل حفظ خوانایی ؛
ه) کنترل تغییرات ( برای مثال کنترل نسخه ) ؛ و
و) نگهداری و امحا.
اطلاعات مستند با منشأ بیرونی که سازمان برای طرح ریزی و اجرای سیستم مدیریت امنیت اطلاعات ضروری تشخیص داده است باید به نحوی مناسب ، شناسایی و کنترل شوند .
یادآوری : دسترسی ، به صورت ضمنی ، بیانگر تصمیمی مرتبط با مجوز فقط برای مشاهده اطلاعات ، یا مجوز و اختیاردهی جهت مشاهده و تغییر اطلاعات مستند و مواردی مانند آن می شود.
8- عملیات
1-8- طرح ریزی و کنترل عملیات
سازمان باید فرایندهای مورد نیاز برای برآورده سازی الزامات امنیت اطلاعات را طرحریزی ، پیاده سازی و کنترل نموده و اقدام های مشخص شده در بند 6-1 را پیاده سازی کند . سازمان همچنین باید طرح هایی را برای دستیابی به اهداف امنیت اطلاعات مشخص شده در بند 6-2 پیاده سازی نماید .
سازمان باید اطلاعات مستند را در حد لازم برای حصول اطمینان از اینکه فرایند ها به همان صورت که طرح ریزی شده اند انجام می شود ، نگهداری کند .
سازمان باید در صورت لزوم ، اقدام هایی را برای کاهش هرگونه عوارض جانبی انجام دهد تا تغییرات طرح ریزی شده را کنترل و پیامدهای تغییرات ناخواسته را بازنگری نماید.
سازمان باید اطمینان حاصل کند که فرایندهای برون سپاری شده ، تعیین شده و تحت کنترل هستند .
2-8- ارزیابی مخاطرات امنیت اطلاعات
سازمان باید ارزیابی مخاطرات امنیت اطلاعات را در بازه های زمانی طرحریزی شده یا هنگام وقوع تغییرات مهم یا تغییرات پیشنهاد شده ، با درنظر گرفتن معیار تعیین شده در بند الف – 6-2- 1 ، انجام دهد .
سازمان باید اطلاعاتی مستند را درباره نتایج ارزیابی های مخاطرات امنیت اطلاعات ، نگهداری کند .
3-8- برطرف سازی مخاطرات امنیت اطلاعات
سازمان باید طرح برطرف سازی مخاطرات امنیت اطلاعات را پیاده سازی کند .
سازمان باید اطلاعاتی مستند را درباره نتایج برطرف سازی مخاطرات امنیت اطلاعات ، نگهداری کند .
9- ارزشیابی عملکرد
1-9- پایش ، اندازه گیری ، تحلیل و ارزشیابی
سازمان باید عملکرد امنیت اطلاعات و اثربخشی سیستم مدیریت امنیت اطلاعات را ارزشیابی کند .
سازمان باید موارد زیر را مشخص کند :
الف) چه چیزهایی به پایش و اندازه گیری نیاز دارند ، از جمله فرایندها و کنترل های امنیت اطلاعات ؛
ب) روش های پایش ، اندازه گیری ، تحلیل و ارزشیابی ، به صورت کاربرد پذیر ، به منظور حصول اطمینان از معتبر بودن
نتایج ؛
یادآوری : روش های انتخابی باید نتایج قابل قیاس و تکرارپذیر تولید کنند تا معتبر شناخته شوند .
ج) چه زمانی باید پایش و اندازه گیری انجام شود .
د) چه کسی باید پایش و اندازه گیری را انجام دهد .
ه) چه زمانی نتایج حاصل از پایش و اندازه گیری باید مورد تحلیل و ارزشیابی قرار گیرند ؛ و
و) چه کسی باید این نتایج را تحلیل و ارزشیابی کند .
سازمان باید اطلاعات مستند مناسب را به عنوان مدرک پایش و اندازه گیری نتایج ، نگهداری کند .
2-9- ممیزی داخلی
سازمان باید ممیزی های داخلی را در فاصله های زمانی طرحریزی شده انجام دهد تا اطلاع حاصل شود که آیا سیستم مدیریت
امنیت اطلاعات :
الف) با موارد زیر انطباق دارد :
- الزامات خود سازمان برای سیستم مدیریت امنیت اطلاعات ؛ و
- الزامات این استاندارد بین المللی ؛
ب) به طور اثربخش ، پیاده سازی و نگهداری می شود .
سازمان باید :
ج) برنامه ( های ) ممیزی شامل دفعات تکرار ، روش ها ، مسئولیت ها ، الزامات طرح ریزی و گزارش دهی را طرح ریزی ، مستقر ، پیاده سازی و نگهداری کند . برنامه ( های ) ممیزی باید اهمیت فرایندهای مورد نظر و نتایج ممیزی های قبلی را درنظر بگیرند .
د)معیارهای ممیزی و قلمرو هر ممیزی را تعریف کند .
ه) در انتخاب ممیزان و انجام ممیزی ها ، از واقع بینی و بی طرفی فرایند ممیزی اطمینان حاصل نماید .
و) اطمینان حاصل کند که نتایج ممیزی ها به مدیریت مربوطه گزارش داده می شوند ؛ و
ز) اطلاعات مستند را به عنوان مدرک برنامه ( های ) ممیزی و نتایج ممیزی ، نگهداری کند .
3-9- بازنگری مدیریت
مدیریت ارشد باید سیستم مدیریت امنیت اطلاعات سازمان را در فاصله های زمانی طرحریزی شده ، بازنگری کند تا از تداوم سازگاری ، کفایت و اثربخشی آن اطمینان حاصل نماید .
در بازنگری مدیریت ، باید موارد زیر درنظر گرفته شود :
الف) وضعیت اقدامات در بازنگری های قبلی مدیریت ؛
ب) تغییرات در مسایل بیرونی و درونی مرتبط با سیستم مدیریت امنیت اطلاعات ؛
ج) بازخوردها درباره عملکرد امنیت اطلاعات ، شامل روند :
- عدم انطباقها و اقدام های اصاحی ؛
- نتایج پایش و اندازه گیری ؛
- نتایج ممیزی ؛ و
- تحقق اهداف امنیت اطلاعات .
د) بازخورد از طرف های ذینفع ؛
ه) نتایج ارزیابی مخاطرات و وضعیت طرح برطرف سازی مخاطرات ؛ و
و) فرصت ها برای بهبود مستمر .
خروجی های بازنگری مدیریت باید دربرگیرنده تصمیمات مربوط به فرصت های بهبود مستمر و هرگونه نیاز به تغییر در سیستم مدیریت امنیت اطلاعات باشد .
سازمان باید اطلاعات مستند را به عنوان مدرک نتایج بازنگری های مدیریت ، نگهداری کند .
10- بهبود
1-10- عدم انطباق و اقدام اصالحی
هنگام وقوع یک عدم انطباق ، سازمان باید :
الف) نسبت به عدم انطباق ، واکنش نشان داده و در صورت مقتضی :
- برای کنترل و اصلاح آن اقدام کند ؛ و
- به پیامد ها رسیدگی کند .
ب) نیاز به اقدام برای رفع علل عدم انطباق را به منظور جلوگیری از تکرار یا بروز آن در جای دیگر ، از طریق موارد زیر تعیین کند :
- بازنگری عدم انطباق ؛
- تعیین علل عدم انطباق ؛ و
- شناسایی وجود عدم انطباق های مشابه یا احتمال وقوع آنها .
ج) اقدام های مورد نیاز را پیاده سازی کند .
د) اثربخشی تمام اقدام های اصلاحی انجام شده را بازنگری کند ؛ و
ه) در صورت لزوم ، تغییراتی را در سیستم مدیریت امنیت اطلاعات ایجاد کند .
اقدام های اصلاحی باید متناسب با اثرات عدم انطباق های مشاهده شده باشند .
سازمان باید اطلاعات مستند را به عنوان مدرک برای موارد زیر نگهداری کند :
و) ماهیت عدم انطباق ها و تمام اقدام های انجام شده متعاقب آن ؛ و
ز) نتایج هر یک از اقدام های اصلاحی .
2-10- بهبود مستمر
سازمان باید به طور مستمر ، سازگاری ، کفایت و اثربخشی سیستم مدیریت امنیت اطلاعات را بهبود بخشد .
(الزامی)
کنترل ها و اهداف کنترلی مرجع
اهداف کنترلی و کنترل های فهرست شده در جدول الف.1 ، به طور مستقیم از بندهای 5 تا 18 استاندارد 1 ISO/IEC
27002:2013 و منطبق با آنها برگرفته شده اند و در چارچوب بند 6-1-3مورد استفاده قرار خواهند گرفت .
جدول الف.7 – اهداف کنترلی و کنترلها
| الف.5 : خط مشی های امنیت اطلاعات | ||
| الف 5-1 : هدایت مدیریت برای امنیت اطلاعات | ||
| هدف : تأمین هدایت و پشتیبانی مدیریت از تطابق امنیت اطلاعات ، مطابق با الزامات کسب و کار و قوانین و آیین نامه های مرتبط | ||
| الف .1,1,5 | خط مشی های امنیت اطلاعات | کنترل : مجموعه ای از خط مشی های امنیت اطلاعات ، باید تعریف و توسط مدیریت تصویب شود ، منتشر شده و به اطاع کارکنان و طرف های مرتبط بیرونی برسد . |
| الف.2,1,5 | بازنگری خط مشی های امنیت | کنترل : خط مشی های امنیت اطلاعات باید در فواصل زمانی طرح ریزی شده یا در صورتی که تغییرات مهمی رخ دهد ، به منظور حصول اطمینان از تداوم سازگاری ، کفایت و اثربخشی آنها بازنگری شوند . |
| الف.6 : سازمان امنیت اطلاعات | ||
| الف.1,6 : سازمان داخلی | ||
| هدف : ایجاد یک چارچوب امنیتی به منظور شروع و کنترل پیاده سازی و اجرای امنیت اطلاعات در درون سازمان | ||
| الف.1,1,6 | نقش ها و مسئولیت های امنیت اطلاعات | کنترل : کلیه مسئولیت های امنیت اطلاعات ، باید تعریف و محول شوند . |
| الف.2,1,6 | تفکیک وظایف | کنترل : به منظور کاهش فرصت های دستکاری غیرمجاز یا غیرعمد ، یا سوءاستفاده از دارایی های سازمان ، باید وظایف و حدود مسئولیت های مغایر ، تفکیک شوند . |
| الف.3,1,6 | ارتباط با مراجع معتبر | کنترل : ارتباطات مقتضی با مراجع معتبر مرتبط باید حفظ شود . |
| الف.4,1,6 | ارتباط با گروه های ذینفع ویژه | کنترل : ارتباطات مقتضی با گروه های ذینفع ویژه یا سایر انجمن های امنیتی متخصص و انجمن های حرفه ای باید حفظ شود . |
| الف.5,1,6 | امنیت اطلاعات در مدیریت
پروژه |
کنترل : امنیت اطلاعات باید در مدیریت پروژه ، صرف نظر از نوع پروژه ، لحاظ شود . |
| الف.2,6 : دستگاه های قابل حمل و دورکاری | ||
| هدف : حصول اطمینان از امنیت دورکاری و استفاده از دستگاه های قابل حمل | ||
| الف.1,2,6 | خط مشی دستگاه های قابل
حمل |
کنترل : یک خط مشی و اقدامات امنیتی پشتیبان ، به منظور مدیریت مخاطرات ایجاد شده به دلیل استفاده از دستگاه های قابل حمل ، باید اتخاذ گردد . |
| الف.2,2,6 | دورکاری | کنترل : یک خط مشی و اقدامات امنیتی پشتیبان ، به منظور حفاظت از اطلاعات قابل دسترس ، پردازش یا ذخیره شده در محل های دورکاری ، باید پیاده سازی شود . |
| الف .7 : امنیت منابع انسانی | ||
| الف.1,7 : پیش از اشتغال | ||
| هدف : حصول اطمینان از اینکه کارکنان و پیمانکاران ، مسئولیت هایشان را درک کرده و برای نقش های در نظر گرفته شده برای ایشان مناسب هستند . | ||
| الف.1,1,7 | گزینش | کنترل : پیشینه تمام داوطلبان استخدام ، باید مطابق با قوانین مرتبط ، آیین نامه ها و اصول اخلاقی ، بررسی گردد و متناسب با الزامات کسب و کار ، طبقه بندی اطلاعاتی که در دسترس قرار می گیرند و مخاطرات بالقوه باشند . |
| الف.2,1,7 | ضوابط و شرایط استخدام | کنترل : توافق های قردادی با کارکنان وپیمانکاران باید بیانگر مسئولیت های ایشان و سازمان ، در قبال امنیت اطلاعت باشد . |
| الف .2,7 : حین خدمت | ||
| هدف : حصول اطمینان از اینکه کارکنان و پیمانکاران از مسئولیت های امنیت اطلاعات خود ، آگاه بوده و آنها را به انجام می رسانند . | ||
| الف.1,2,7 | مسئولیت های مدیریت | کنترل : مدیریت باید تمامی کارکنان و پیمانکاران را به بکارگیری امنیت اطلاعات ،
مطابق با خط مشی ها و رویه های ایجاد شده سازمان ، الزام نماید . |
| الف.2,2,7 | آگاه سازی ، تحصیل و آموزش امنیت اطلاعات | کنترل : تمامی کارکنان سازمان ، و در صورت لزوم پیمانکاران ، باید به صورت مناسب ، در خصوص خط مشی ها و رویه های سازمان ، تحصیل و آموزش آگاه سازانه ببینند و به طور منظم به روز شوند ، به طوری که کارکرد شغلی ایشان مرتبط باشد . |
| الف . 3,2,7 | فرایند انضباطی | کنترل : باید برای اقدام در برابر کارکنانی که مرتکب نقض امنیت اطلاعات شده اند یک فرایند انضباطی رسمی و ابلاغ شده ، وجود داشته باشد . |
| الف . 3,7 : خاتمه اشتغال یا تغییر شغل | ||
| هدف : محافظت از منافع سازمان ، به عنوان بخشی از فرایند تغییر یا خاتمه اشتغال | ||
| الف .1,3,7 | مسئولیت های خاتمه اشتغال یا تغییر شغل | کنترل : مسئولیت ها و وظایف امنیت اطلاعات که پس از خاتمه اشتغال یا تغییر شغل ، معتبر باقی می مانند باید تعریف شده ، به کارکنان یا پیمانکاران ابلاغ و اجبار شوند . |
| الف .8 : مدیریت دارایی ها | ||
| الف .1,8: مسئولیت دارایی ها | ||
| هدف : شناسایی دارایی های سازمانی و تعریف مسئولیت های حفاظت مناسب | ||
| الف .1,1,8 | سیاهه اموال | کنترل : دارایی های مرتبط با اطلاعات و امکانات پردازش اطلاعات باید شناسایی شده و سیاهه ای از این دارایی ها تنظیم و نگهداری شود . |
| الف.2,1,8 | مالکیت دارایی ها | کنترل : دارایی های نگهداری شده در سیاهه باید دارای مالک باشند . |
| الف.3,1,8 | استفاده پسندیده از دارایی ها | کنترل : قوانینی برای استفاده پسندیده از اطلاعات و دارایی های مرتبط با اطلاعات و امکانات پردازش اطلاعات ، باید شناسایی ، مدون و پیاده سازی شوند . |
| الف.4,1,8 | عودت دارایی ها | کنترل : تمامی کارکنان و کاربران طرف بیرونی باید کلیه دارایی های سازمانی را که در اختیار دارند ، به محض خاتمه اشتغال ، قرداد یا توافق نامه ، عودت دهند . |
| الف. 2,8 : طبقه بندی اطلاعات | ||
| هدف : حصول اطمینان از اینکه اطلاعات ، با توجه به اهمیت آن برای سازمان ، به سطح حفاظتی مناسب رسیده است . | ||
| الف.1,2,8 | طبقه بندی اطلاعات | کنترل : اطلاعات باید با توجه به الزمات قانونی ، ارزش ، بحرانی بودن و حساس بودن نسبت به افشا یا دستکاری غیر مجاز ، طبقه بندی شوند . |
| الف2,2,8 | برچسب گذاری اطلاعات | کنترل : باید مجوعه مناسبی از رویه هایی برای برچسب گذاری اطلاعات ، با توجه به الگوی طبقه بندی اطلاعات پذیرفته شده توسط سازمان ، ایجاد و پیاده سازی شود . |
| الف.3,2,8 | اداره کردن دارایی | کنترل : باید رویه هایی برای اداره کردن دارایی ها ، با توجه به الگوی طبقه بندی اطلاعات پذیرفته شده توسط سازمان ، ایجاد و پیاده سازی شود . |
| الف.3,8 : اداره کردن رسانه ها | ||
| هدف : پیشگیری از افشا ، دستکاری ، حذف یا تخریب غیرمجاز اطلاعات ذخیره شده در رسانه ها | ||
| الف.1,3,8 | مدیریت رسانه های جداشدنی | کنترل : باید رویه هایی برای مدیریت رسانه های جداشدنی ، با توجه به الگوی طبقه بندی پذیرفته شده توسط سازمان ، ایجاد و پیاده سازی شود . |
| الف.2,3,8 | امحاء رسانه | کنترل : رسانه ها باید زمانی که دیگر مورد نیاز نیستند ، به صورت امن و با استفاده از رویه هایی رسمی ، امحا شوند . |
| الف.3,3,8 | انتقال رسانه فیزیکی | کنترل : رسانه های حاوی اطلاعات باید در حین انتقال ، در برابر دسترسی غیرمجاز ، سوء استفاده یا خرابی ، محافظت شوند . |
| الف.9 : کنترل دسترسی | ||
| الف.1,9 : الزامات کسب و کار برای کنترل دسترسی | ||
| هدف : محدودسازی دسترسی به اطلاعات و امکانات پردازش اطلاعات | ||
| الف.1,1,9 | خط مشی کنترل دسترسی | کنترل : باید خط مشی کنترل دسترسی ، بر مبنای الزامات کسب و کار و امنیت اطلاعات ، ایجاد ، مدون و بازنگری شود . |
| الف.2,1,9 | دسترسی به شبکه ها و سرویس های شبکه | کنترل : کاربران فقط باید به شبکه و سرویس هایی از شبکه دسترسی داشته باشند که بطور مشخص ، مجوز استفاده از آنها را داشته باشند . |
| الف.2,9 : مدیریت دسترسی کاربر | ||
| هدف : حصول اطمینان از دسترسی کاربر مجاز شده و جلوگیری از دسترسی غیرمجاز به سیستم ها و سرویس ها | ||
| الف.1,2,9 | ثبت و حذف کاربر | کنترل : باید فرایندی رسمی برای ثبت و حذف کاربر ، به منظور ایجاد امکان اعطای حقوق دسترسی ، پیاده سازی شود . |
| الف.2,2,9 | تامین مجوز دسترسی کاربر | کنترل : باید یک فرایند رسمی تامین مجوز دسترسی کاربر ، جهت اعطا یا لغو حقوق دسترسی برای کلیه انواع کاربران به تمامی سیستم ها و سرویس ها ، پیاده سازی شود . |
| الف.3,2,9 | مدیریت حق دسترسی ویژه | کنترل : تخصیص اطلاعات محرمانه احراز هویت ، باید از طریق یک فرایند رسمی مدیریتی ، کنترل شود . |
| الف.4,2,9 | مدیریت اطلاعات محرمانه احراز هویت کاربران | کنترل : تخصیص اطلاعات محرمانه احراز هویت ، باید از طریق یک فرایند رسمی مدیریتی ، کنترل شود . |
| الف.5,2,9 | بازنگری حقوق دسترسی کاربر | کنترل : مالکان دارایی ها باید حقوق دسترسی کاربران را در فواصل زمانی منظم بازنگری کنند . |
| الف.6,2,9 | حذف یا اصلاح حقوق دسترسی | کنترل : حقوق دسترسی تمامی کارکنان و کاربران طرف بیرونی به اطلاعات و امکانات پردازش اطلاعات ، باید به محض خاتمه اشتغال ، قراداد یا توافق نامه آنها حذف شده ، و در صورت تغییر وضعیت ، اصلاح شوند . |
| الف.3,9 : مسئولیت های کاربر | ||
| هدف : پاسخگو بودن کاربران در برابر حفاظت از اطلاعات احراز هویت خود | ||
| الف.1,3,9 | استفاده از اطلاعات محرمانه
احراز هویت |
کنترل : کاربران باید به پیروی از دستورالعمل های سازمانی جهت استفاده از اطلاعات محرمانه احراز هویت ، ملزم شوند . |
| الف.4,9 : کنترل دسترسی به سیستم و برنامه | ||
| هدف : جلوگیری از دسترسی غیرمجاز به سیستم ها و برنامه ها | ||
| الف.1,4,9 | محدودیت دسترسی به اطلاعات | کنترل : دسترسی به اطلاعات و کارکردهای سیستم برنامه ، باید مطابق با خط مشی کنترل دسترسی ، محدود شود . |
| الف.2,4,9 | رویه های ورود امن | کنترل : دسترسی به سیستم ها و برنامه ها ، در صورت الزام در خط مشی کنترل دسترسی ، باید توسط یک رویه ورود امن ، کنترل شود . |
| الف.3,4,9 | سیستم مدیریت کلمه عبور | کنترل : سیستم های مدیریت کلمه عبور باید تعاملی بوده و کیفیت کلمات عبور را تضمین نمایند . |
| الف.4,4,9 | استفاده از برنامه های کمکی | کنترل : استفاده از برنامه های کمکی که ممکن است قادر به ابطال کنترل های سیستم و برنامه ها باشند ، باید محدود شده و به شدت کنترل شود . |
| الف.5,4,9 | کنترل دسترسی به کد منبع برنامه | کنترل : دسترسی به کد منبع برنامه ، باید محدود شود . |
| الف.10 : رمزنگاری | ||
| هدف : حصول اطمینان از استفاده بجا و اثربخش از رمزنگاری ، به منظور حفاظت از محرمانگی ، اصالت یا صحت اطلاعات | ||
| الف.1,1,10 | خط مشی استفاده از کنترل های رمزنگاری | کنترل : بایدخط مشی استفاده از کنترل های رمزنگاری ، برای حفاظت از اطلاعات ، ایجاد و پیاده سازی شود . |
| الف.2,1,10 | مدیریت کلید | کنترل : خط مشی استفاده ، حفاظت و طول عمر کلیدهای رمزنگاری ، باید ایجاد و در کل چرخه حیات آنها پیاده سازی شود . |
| الف.11 : امنیت فیزیک و محیطی | ||
| الف.1,11 : نواحی امن | ||
| هدف : جلوگیری از دسترسی فیزیکی غیر مجاز ، خسارت و مداخله در اطلاعات و امکانات پردازش اطلاعات سازمان | ||
| الف.1,1,11 | حصار امنیت فیزیکی | کنترل : حصارهای امنیتی باید برای حفاظت از نواحی حاوی اطلاعات و امکانات پردازش اطلاعات حساس یا حیاتی ، تعیین شده و استفاده شوند . |
| الف.2,1,11 | کنترل های مداخل فیزیکی | کنترل : نواحی امن ، به منظور حصول اطمینان از اینکه فقط کارکنان مجاز ، اجازه دسترسی دارند ، باید توسط کنترل های مداخل مناسب ، حفاظت شوند . |
|
الف.3,1,11 |
امن سازی دفاتر ، اتاق ها و امکانات
|
کنترل : امنیت فیزیکی برای دفاتر ، اتاق ها و امکانات ، باید طراحی شده و به کار گرفته شود . |
| الف.4,1,11 | محافظت در برابر تهدیدهای بیرونی و محیطی |
کنترل : حفاظت فیزیکی در برابر بلایای طبیعی ، سوانح و حملات خرابکارانه ، باید طراحی شده و به کار گرفته شود . |
| الف.5,1,11 | نواحی تحویل و بارگیری | کنترل : نقاط دسترسی مانند نواحی تحویل و بارگیری و سایر نقاطی که افراد متفرقه ممکن است وارد محوطه ها شوند ، باید تحت کنترل قرار گیرند ، و در صورت امکان ، برای جلوگیری از دسترسی غیر مجاز ، از امکانات پردازش اطلاعات ، مجزا شوند . |
| الف.2,11 : تجهیزات | ||
| هدف : جلوگیری از فقدان ، آسیب ، سرقت یا به خطر افتادن دارایی ها و ایجاد وقفه در فعالیت های سازمان | ||
| الف.1,2,11 | استقرار و حفاظت از تجهیزات | کنترل : تجهیزات باید ( در محل مناسب ) مستقر و محافظت شوند تا مخاطرات ناشی از تهدیدها و خطرات محیطی و فرصت های دسترسی غیرمجاز ، کاهش یابند . |
| الف.2,2,11 | امکانات پشتیبانی | کنترل : تجهیزات باید در برابر خرابی برق و سایر اختلالات ناشی از خرابی امکانات پشتیبانی ، محافظت شوند . |
| الف.3,2,11 | امنیت کابل کشی | کنترل : کابل کشی های برق و مخابرات مورد استفاده برای انتقال داده یا پشتیبانی از سرویس های اطلاعاتی ، باید در برابر قطع شدن ، ایجاد تداخل یا آسیب ، محافظت شوند . |
| الف.4,2,11 | نگهداری تجهیزات | کنترل : تجهیزات باید به منظور حصول اطمینان از تداوم دسترس پذیری و صحت شان ، به درستی نگهداری شوند . |
| الف.5,2,11 | خروج دارایی ها | کنترل : تجهیزات ، اطلاعات یا نرم افزار ، نباید بدون مجوز قبلی از محل خارج شوند . |
| الف.6,2,11 | امنتیت تجهیزات و دارایی های خارج از محوطه | کنترل : برای دارایی های خارج از محوطه ، باید با توجه به مخاطرات مختلف ناشی از انجام کار در خارج از محوطه های سازمان ، امنیت برقرار شوند . |
| الف.7,2,11 | امحا یا استفاده مجدد از تجهیزات به صورت امن | کنترل تمام اجزای تجهیزاتی که دارای رسانه ذخیره سازی هستند ، باید به منظور حصول اطمینان از اینکه کلیه داده های حساس و نرم افزارهای دارای حق امتیاز ، پیش از محا یا استفاده مجدد ، حذف شده یا به شیوه امنی بازنویسی شده اند ، بررسی شوند . |
| الف.8,2,11 | تجهیزات بدون مراقبت کاربر | کنترل : کاربران باید اطمینان حاصل کنند که تجهیزات بدون مراقبت ، حفاظت مناسبی دارند . |
| الف.9,2,11 | خط مشی میز پاک و صفحه پاک | کنترل : خط مشی میز پاک برای اوراق و رسانه های ذخیره سازی جداشدنی ، و خط مشی صفحه پاک برای امکانات پردازش اطلاعات ، باید اتخاذ شوند . |
| الف.12 : امنیت عملیات | ||
| الف.1,12 : رویه های عملیاتی و مسئولیت ها | ||
| هدف : حصول اطمینان از کارکرد صحیح و امن امکانات پردازش اطلاعات | ||
| الف.1,1,12 | رویه های عملیاتی مدون | کنترل : رویه های عملیاتی باید مدون شوند و در دسترس همه کاربرانی که به آنها نیاز دارند ، قرار گیرند . |
| الف.2,1,12 | مدیریت تغییر | کنترل : تغییرات در سازمان ، فرایندها ی کسب و کار ، امکانات و سیستم های پردازش اطلاعات که بر امنیت اطلاعات تاثیرگذار هستند ، باید کنترل شوند . |
| الف.3,1,12 | مدیریت ظرفیت | کنترل : استفاده از منابع ، باید پایش و تنظیم شده و پیش بینی ظرفیت مورد نیاز آینده جهت حصول اطمینان از کارایی الزامات سیستم ، انجام شود . |
| الف.4,1,12 | جداسازی محیط های توسعه ، آزمایش و عملیاتی | کنترل : محیط های توسعه ، آزمایش و عملیاتی ، باید به منظور کاهش مخاطرات ناشی از دسترسی یا تغییر غیرمجاز در محیط عملیاتی ، از یکدیگر جدا شوند . |
| الف.2,12 : حفاظت در برابر بدافزارها | ||
| هدف : حصول اطمینان از اینکه اطلاعات و امکانات پردازش اطلاعات در برابر بدافزارها حفاظت می شوند . | ||
| الف.1,2,12 | کنترل ها در برابر بدافزارها | کنترل : کنترل های تشخیص ، جلوگیری و بازیابی ، به منظور حفاظت در برابر بدافزارها ، باید پیاده سازی شده و با آگاه سازی مناسب کاربر همراه شوند . |
| الف.3,12 : پشتیبان گیری | ||
| هدف : حفاظت در برابر فقدان داده ها | ||
| الف.1,3,12 | پشتیبان گیری از اطلاعات | کنترل : نسخه های پشتیبانی از اطلاعات ، نرم افزار و تصاویر سیستم ، باید با توجه به خط مشی مورد توافق پشتیبان گیری ، تهیه و به صورت منظم آزمایش شوند . |
| الف.4,12 : ثبت پایش | ||
| هدف : ثبت رویدادها و ایجاد شواهد | ||
| الف.1,4,12 | ثبت رویداد | کنترل : ثبت رویدادها شامل ثبت فعالیت های کاربر ، استثناءها ، خطاها و رویدادهای امنیت اطلاعات ، باید ایجاد ، نگهداری و به صورت منظم بازنگری شوند . |
| الف.2,4,12 | حفاظت از اطلاعات ثبت شده رویدادها | کنترل : امکانات ثبت رویداد و اطلاعات ثبت شده ، باید در برابر دستکاری و دسترسی غیرمجاز حفاظت شوند . |
| الف.3,4,12 | ثبت رویدادهای مدیر و اپراتور سیستم | کنترل : فعالیت های مدیر سیستم و اپراتور سیستم باید ثبت شوند و رویدادهای ثبت شده باید محافظت و به صورت منظم ، بازنگری شوند . |
| الف.4,4,12 | همزمان سازی ساعت ها | کنترل : ساعت های تمامی سیستم های پردازش اطلاعات مرتبط در درون یک سازمان یا دامنه اطلاعاتی ، باید با یک منبع زمانی مرجع واحد ، همزمان شوند . |
| الف.5,12 : کنترل نرم افزارهای عملیاتی | ||
| هدف : حصول اطمینان از صحت سیستم های عملیاتی | ||
| الف.1,5,12 | نصب نرم افزار بر روی سیستم های عملیاتی | کنترل : رویه هایی برای کنترل نصب نرم افزار بر روی سیستم های عملیاتی باید پیاده سازی شوند . |
| الف.6,12 : مدیریت آسیب پذیری فنی | ||
| الف.1,16 : مدیریت و بهبود رخدادهای امنیت اطلاعات | ||
| هدف : حصول اطمینان از بکارگیری رویکردی استوار و اثربخش برای مدیریت رخدادهای امنیت اطلاعات ، شامل اعلان رویدادهای امنیتی و نقاط ضعف | ||
| الف.1,1,16 | مسئولیت ها و رویه ها | کنترل : مسئولیت های مدیریتی و رویه ها ، به منظور حصول اطمینان از پاسخگویی سریع ، موثر و منظم به رخدادهای امنیت اطلاعت ، باید وضع شوند . |
| الف.2,1,16 | گزارش دهی رویدادهای امنیت اطلاعات | کنترل : رویدادهای امنیت اطلاعات باید از طریق مجاری مدیریتی مناسب ، در کوتاه ترین زمان ممکن گزارش شوند . |
| الف.3,1,16 | گزارش دهی نقاط ضعف امنیت اطلاعات | کنترل : کارکنان و پیمانکارانی که از سیستم ها و سرویس های اطلاعاتی سازمان استفاده می کنند ، باید نسبت به یادداشت برداری و گزارش دهی هر گونه ضعف امنیت اطلاعات مشاهده شده یا مشکوک در سیستم ها یا سرویس ها ، ملزم شوند . |
| الف.4,1,16 | ارزیابی و تصمیم گیری درباره رویدادهای امنیت اطلاعات | کنترل : رویدادهای امنیت اطلاعات ، باید ارزیابی شوند و در خصوص اینکه لازم است به عنوان رخدادهای امنیت اطلاعات طبقه بندی شوند ، تصمیم گیری شود . |
| الف.5,1,16 | پاسخ به رخدادهای امنیت اطلاعات | کنترل : باید به توجه به رویه های مدون ، به رخدادهای امنیت اطلاعات پاسخ داده شود . |
| الف.7,1,16 | جمع آوری شواهد | کنترل : سازمان باید رویه هایی را برای شناسایی ، جمع آوری ، اکتساب و حفظ اطلاعاتی که می توانند به عنوان شواهد مورد استفاده قرار گیرند ، تعریف نموده و به کار گیرد . |
| الف.17 : جوانب امنیت اطلاعات در مدیریت تداوم کسب و کار | ||
| الف.1,17 : تداوم امنیت اطلاعات | ||
| هدف : تداوم امنیت اطلاعات باید در سیستم های مدیریت تداوم کسب و کار سازمان ، لحاظ شود . | ||
| الف.1,1,17 | طرح ریزی تداوم امنیت اطلاعات | کنترل : سازمان باید الزاماتش را برای امنیت اطلاعات و تداوم مدیریت امنیت اطلاعات در وضعیت های نامطلوب ، به عنوان مثال هنگام بحران یا فاجعه ، تعیین کند . |
| الف.2,1,17 | پیاده سازی تداوم امنیت اطلاعات | کنترل : به منظور حصول اطمینان از سطح الزامی تداوم برای امنیت اطلاعات در هنگام یک موقعیت نامطلوب ، سازمان باید فرایندها ، رویه ها و کنترل هایی را وضع ، مدون ، پیاده سازی و نگهداری کند . |
| الف.3,1,17 | بررسی ، بازنگری و ارزیابی تداوم امنیت اطلاعات | کنترل : سازمان باید کنترل های تدوام امنیت اطلاعات را که وضع و پیاده سازی شده اند ، در فواصل زمانی منظم بررسی کند تا اطمینان حاصل شود این کنترل ها در هنگام وضعیت های نامطلوب ، معتبر و موثر هستند . |
| الف.2,17 : جایگزین ها | ||
| هدف : حصول اطمینان از دسترس پذیری امکانات پردازش اطلاعات | ||
| الف.1,2,17 | دسترس پذیری امکانات پردازش اطلاعات | کنترل : امکانات پردازش اطلاعات باید با جایگزین های کافی جهت برآورده سازی الزامات دسترس پذیری ، پیاده سازی شوند . |
| الف.18 : انطباق | ||
| الف.1,18 : انطباق با الزامات قانونی و قراردادی | ||
| هدف : پرهیز از نقض تعهدات قانونی ، حقوقی ، مقرراتی یا قراردادی مرتبط با امنیت اطلاعات و هر الزام امنیتی | ||
| الف.1,1,18 | شناسایی الزامات قانونی و قراردادی قابل اجرا | کنترل : تمامی الزامات قانونی ، حقوقی ، مقرراتی ، قراردادی مرتبط و رویکرد سازمان نسبت به تحقق این الزامات ، باید برای هر یک از سیستم های اطلاعاتی و سازمان ، به وضوح شناسایی ، مدون و به روز نگهداشته شوند . |
| الف.2,1,18 | حقوق مالکیت معنوی | کنترل : رویه های مناسب ، به منظور حصول اطمینان از انطباق با الزامات قانونی ، مقرراتی و قراردادی مرتبط با حقوق مالکیت معنوی و استفاده از محصولات نرم افزاری دارای حقوق مالکیت ، باید پیاده سازی شوند . |
| الف.3,1,18 | حفاظت از سوابق | کنترل : سوابق باید مطابق با الزامات قانونی ، مقرراتی ، قراردادی و الزامات کسب و کار در برابر فقدان ، تخریب ، تحریف ، دسترسی غیرمجاز و افشای غیرمجاز محافظت شوند . |
| الف.4,1,18 | حریم خصوصی و حفاظت از اطلاعات هویت شخصی | کنترل : در صورت قابلیت پیاده سازی حریم خصوصی و حفاظت از اطلاعات هویتی شخصی باید همانگونه که در قوانین و مقررات مرتبط الزام شده است ، تضمین شود . |
| الف.5,1,18 | قواعد کنترل های رمزنگاری | کنترل : کنترل های رمزنگاری باید منطبق با تمامی توافق نامه ها ، قوانین و مقررات مرتبط ، به کار گرفته شوند . |
| الف.2,18 : بازنگری های امنیت اطلاعات | ||
| هدف : حصول اطمینان از اینکه امنیت اطلاعات ، مطابق با خط مشی ها و رویه های سازمانی ، پیاده سازی و اجرا می شوند . | ||
| الف.1,2,18 | بازنگری مستقل امنیت اطلاعات | کنترل : رویکرد سازمان نسبت به مدیریت امنیت اطلاعات و پیاده سازی آن ( به عنوان مثال اهداف کنترلی ، کنترل ها ، خط مشی ها ، فرایندها و رویه های امنیت اطلاعات ) ، باید در فواصل زمانی طرح ریزی شده یا هنگامی که تغییرات مهمی رخ می دهد ، به طور مستقل بازنگری شود . |
| الف.2,2,18 | انطباق با خط مشی ها و استانداردهای امنیتی | کنترل : مدیران باید انطباق پردازش اطلاعات و رویه ها را در حیطه مسئولیت شان ، با خط مشی ها و استانداردهای امنیتی مناسب و دیگر الزامات امنیتی ، به طور منظم بازنگری کنند . |
| الف.3,2,18 | بازنگری انطباق فنی | کنترل : سیستم های اطلاعاتی باید به منظور انطباق با خط مشی ها و استانداردهای امنیت اطلاعات سازمان ، به طور منظم بازنگری شوند . |
متن فارسی استاندارد ایزو 27001 توسط سیستم کاران – سازمان مرکزی با شماره 79165-021 منتشر گردید. در صورت وجود هر گونه سوال یا ابهامی با مرکز تماس حاصل فرمایید. توصیه میگردد که استاندارد ایزو 27001 بهمراه استاندارد ایزو 9001 طراحی و پیاده سازی گردد. اکثر کارشناسان و مشاوران ایزو از محتوای استاندارد ISO/IEC27001 اطلاعات کاملی ندارند. داشتن مهارت در حوزه IT باعث درک بهتر این استاندارد میگردد.
اخذ فوری و ارزان ایزو 27001 را با سیستم کاران 79165-021 تجربه کنید. از خدمات رایگان سیستم کاران در حوزه طراحی و پیاده سازی سیستم مدیریت امنیت اطلاعات نیز استفاده نمایید.
بامادرارتباط باشید . . .
لینک دانلود رایگان متن فارسی استاندارد ISO/IEC 27001:2013 با فرمت PDF فارسی
برای مشاهده متن فارسی و انگلیسی سایر استانداردهای ایزو می توانید اینجا کلیک نمایید.
14 Responses
گواهینامه های ایزو 27001 برای آموزشی هم صادر میشه یا فقط برای شرکتها قابل صدور هست. مستندات این گواهینامه ها چطور می تونم بدست بیارم؟
سلام شمس هستم به تازگی بعنوان کارشناس ایزو فعالیتم را شروع کرده ام. مقاله شما بسیار واضح و شیوا کلیه نمونه قوانین و الزامات استاندارد های ایزو را توضیح داده است. ممنونم از اطلاعات درستی که بارگذاری کرده اید و سبب افزایش آگاهی کاربران را فراهم نموده آید.
گواهینامه ایزو ۲۷۰۰۱ را حتما باید با گواهینامه ایزو ۹۰۰۱ بگیریم و متن استاندارد دو گواهی فوق بصورت تلفیقی قابلیت پیاده سازی دارند؟ کوتاه شدن زمان و میزان هزینه اخذ برای ما خیلی مهم هست.
اجرا و پیاده سازی سیستم مدیریت امنیت اطلاعات خیلی به درد ما خورد و اتفاقا مدتی پیش باعث جلوگیری از نفوذ یه هکر و سرقت اطلاعات شد. از شما تشکر میکنم. توصیه میکنم مجموعه هایی که بدنبال حفظ اطلاعاتشان هستند حتما نسبت به پیاده سازی ایزو ۲۷۰۰۱ اقدام نمایند.
گواهینامه ایزو ۲۷۰۰۱ را با چه هزینه و زمانی میتونیم بگیریم اگه فعلا فقط گواهی نامه را برامون صادر کنید بعد در فرصت مناسب میتونیم پیاده سازیش را انجام بدیم ؟
گواهینامه ایزو ۲۷۰۰۱ برای ما صادر شده هست. بدنبال شناسایی راهی برای تشخیص اعتبار و اصالت مدرک ایزو بودیم که با سایت و مقاله شما آشنا شدیم و دیدیم در کنار کلمه ISO کلمه IEC نیز هست . یعنی گواهینامه ایزویی که ما گرفتیم اصل نیست چون فقط نوشته ISO 27001
سیستم پیاده سازی گواهینامه ایزو ۹۰۰۱ و ایزو ۲۷۰۰۱ چقدر زمان بر هست با چه شرایطی میتونیم گواهینامه های ایزو را خیلی سریع و آسان بگیریم؟
گواهی iso27001 را چه مراجعی صادر میکنند و در ایران قابل قبول هستند با توجه به اینکه استاندارد مربوط به مدیریت اطلاعات یک مجموعه میشه صرفا مدرک را بگیریم کفایت نمیکنه یا باید حتما بحث پیاده سازی را داشته باشیم؟
درک مفهموم قوانین و الزامات و بندهایی که برای سیستم مدیریت امنیت اطلاعات در این مقاله بیان کردید برای ما کمی سخت هست و به وجود یک مشاور و کارشناس ماهر از صفر تا صد پروژه اخذ گواهینامه ایزو ۲۷۰۰۱ نیاز داریم. لطفا مدارک و شرایط لازم جهت گرفتن ایزو ۲۷۰۰۱ را بفرمایید .
مزایا و فواید سیستم مدیریت امنیت اطلاعات چیست؟ روش کنترل این سیستم و اجرای اون از عهده یک کارشناس ساده کامپیوتر بر میاد یا باید متخصص و حرفهای باشه؟
ایزو ۲۷۰۰۱ از طرف مرجع ukas انگلیس را شما صادر میکنید من شنیدم این مرجع انگلیسی جهت طراحی و اجرای این استاندارد خیلی قوی عمل میکنه ولی بخاطر تحریم ها نمیدونم میشه باهاشون کار کرد یا نه.
پیاده سازی مستندات ایزو ۲۷۰۰۱ بطور رسمی و قانونی در ایران اجرا میشه. مشاوران و کارشناسان شما می تونن براحتی هم با هزینه کم و هم تو مدت زمان کوتاهی این گواهی را برای ما بگیرند؟
مراجع صادر کننده گواهینامه ایزو ۲۷۰۰۱ در ایران کدامند؟ شما با همشون کار میکنید لطفاً اون مرجعی که مورد تایید جوامع بین المللی هست به ما معرفی کنید و بگید تو چه بازده زمانی گواهینامه ایزو را صادر میکند.
بینظیر
واقعا عالی همه چیز گفته شده
کارشناس مجموعه تونست برنامه پیاده سازی استاندارد ۲۷۰۰۱ را بدرستی اجرا کنه
لطفاً فرم ثبت نام را برای شرکت ایمیل نمایید.