3. Protection vision Percentage Physical Asset protection 82% Non Physical Asset protection 18%

4. physicel asse vulnerability 57%

8. ISMS DEFINE : Information Security Management System is the overall management system base on a business risk approach, to establish,implement, operate,monitor and improve information security. ISMS includes organizational structure, policies, planning activities, responsibilities, practices, procedures, processes and resources WHO CAN USE ISMS : This standard can be used by : Internal parties Managers an staffs All stakeholders External parties Suppliers Customers Third parties Sertification bodies

9. Information security began from 1992 Code of practice for information security mgmt ( management) Code of practice – BS( Britain standard ) 7799- part 1 in 1995 این استاندارد مشابه استاندارد اول بود با این تفاوت که تعداد (code of practice) کنترل های آن افزایش یافت و قابلیت پوشش سازمانهایی که کامپیوتر داشتند و آنهایی که کامپیوتر نداشتند را داشت Revised version of BS 7799- part 2 in 1999 دراین استاندارد تعداد کنترل ها بازهم افزایش پیدا کرد و صحبتهایی هم در مورد مدیریت ریسک به میان آمد و سرانجام در سال 2000 اولین نسخه استاندارد امنیت اطلاعات توسط آی زو published شد که در آن تعداد کنترل های به شدت افزایش یافت وبه حدود 100 کنترل رسید The first version of standard published BS فعالیت های خود را متوقف نکرد ودرسال 2002 مدیریت ریسک را نیز به استانداردهای خود اضافه نمود و تحت عنوان BS 7799-2 :2002 وارد بازار کرد. می توان گفت تا مادامی که risk management وارد نشده بود استاندارد به ما ماهی می فروخت وبعد از ان ماهی گیری را به ما آموخت به بیان دیگر از ما خواست که به دنبال تعریف کنترل های جدید باشیم و در توسعه و ارتقاء استاندارد شریک گردیم.

10. ISO /IEC STANDARDDescription 27000Vocabulary and definitios 27001Requirement 27002Code of practice ( iso 17799 :2005 ) 27003Implementation guidance 27004Metrics and measurement 27005Risk management 1992 code of practice for information security mgmt 1995 code of practice – BS7799 1999 revised version of BS7799 2000 ISO/IEC 17799 : 2000 published 2004 BS7799 -2 : 2002 2005 new ISO/IEC 17799 :2005 استاندارد های جدید در دست تدوین iso یه شرح جدل زیر است : New standard category :

11. Process approach : A process approach is include of : ( ISO27001) Understanding business information security requirements and the need to establish policy and objectives for the information security درک الزمات امنیت اطلاعات Implementing and operating controls in the contex of managing and organization’s overall business risk Monitoring and reviewing the performance and effectiveness of the ISMS Continual improvement based on objective measurement

12. Continual improvement of the information security management system Interested parties Managed information security Interested parties Information security requirement and expectation Establish ISMS (4.2.1) a Implement and Operate isms (4.2.2) a Monitor and Review isms (4.2.3) a Maintain and Improve isms 4.2.4 a inputoutput Information security management system

13. Critical success factors : Information security policy, objectives and activities that reflect business objectives isms بازگو کننده اهداف و سیاست های سازمان باشد Approach to information security consistent with the organizational culture باید با فرهنگ سازمانی تطابق داشته باشد Visible support and commitment from all levels of management حمایت شفاف و تعهد و الزام تمام مدیران لایه های مختلف A good underatanding of the information security requirement, risk assessment and risk management Effective Awareness of information security to all managers, employees and other parties

14. Distribution of guidance on information security policies and standard to all manager employees and other parties توزیع و سازماندهی مناسبی از راهنمایی هایی مورد نیاز پیاده سازی سیستم برای تمام لایه های مختلف مدیریت و کارکنان داشته باشیم Provision to fund information security management activities Providing appropriate awareness, training and education Establishing an effectiveinformation security incident management process Implementation of measurement system that is used to evaluate performance in information security management and feed back sugestion for improvement.

15. High low Probability consequence Medium risk Low risk High risk High

17. Input process Input feedback System schematic

18. 1: paln 2: Do 3: check 4:act System schematic

19. Interested parties Managed information security Interested parties Information security requirement and expectation Establish ISMS (4.2.1) a Implement and Operate isms (4.2.2) a Monitor and Review isms (4.2.3) a Maintain and Improve isms 4.2.4 a inputoutput Information security management system isms schematic

20. Calculate probability محاسبه وقوع پذیری Selected control انتخاب کنترل مناسب Predict next proability پیش بینی وقوع پذیری آینده Implement control Evidences gathering بررسی شواهد Compare مقایسه با پیش بین اول ومشخص نمودن اثربخشی Effectiveness off control