Download presentation
Presentation is loading. Please wait.
1
سیستم مدیریت امنیت اطلاعات ISO/IEC 27001:2013
INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) آشنایی با سیستم مدیریت امنیت اطلاعات محمد مهدی واعظی نژاد مهندس امنیت اطلاعات Mvaezi.ir
2
Mvaezi.ir به نام خداوندی که به انسان برخاسته از خاک، خرد بخشید، از روح خود در او دمید و او را خلیفه خویش در زمین قرار داد و پیامبرانش را با دلایل آشکار فرو فرستاد تا انسانها را به سعادت و هدایت، بر پایه تفکر و تعقل، رهنمون گردانند.
3
حضرت علی علیه السلام: " النَّاسُ أَعْدَاءُ مَا جَهِلُوا : مردم دشمن چيزهايى هستند که نمىدانند. " حمکت 172 نهج البلاغه Mohammad Mahdi Vaezi Nezhad Information Security Engineer /
4
فهرست مطالب آشنایی با مفاهیم امنیت اطلاعات
Mvaezi.ir فهرست مطالب آشنایی با مفاهیم امنیت اطلاعات آشنایی با سیستم مدیریت امنیت اطلاعات مزایای پیادهسازی سیستم مدیریت امنیت اطلاعات استانداردهای خانواده سیستم مدیریت امنیت اطلاعات انواع ممیزی سیستم مدیریت امنیت اطلاعات تاریخچه سیستم مدیریت امنیت اطلاعات الزامات سیستم مدیریت امنیت اطلاعات دیدگاه فرایندگرا در سیستم مدیریت امنیت اطلاعات چرخه PDCA در سیستم مدیریت امنیت اطلاعات
5
آشنایی با سیستم مدیریت امنیت اطلاعات
Mvaezi.ir آشنایی با سیستم مدیریت امنیت اطلاعات اطلاعات چیست؟ اطلاعات، دارایی است که همانند سایر داراییهای تجاری مهم، در یک سازمان دارای ارزش بوده و در نتیجه باید به طور مناسبی مورد محافظت قرار گیرد.
6
آشنایی با سیستم مدیریت امنیت اطلاعات
Mvaezi.ir آشنایی با سیستم مدیریت امنیت اطلاعات روشهای نگهداری اطلاعات: اطلاعات کاغذی لوحهای فشرده (CD & DVD) شفاهی تصویری ویدیویی و ... نوارهای مغناطیسی
7
آشنایی با سیستم مدیریت امنیت اطلاعات
Mvaezi.ir آشنایی با سیستم مدیریت امنیت اطلاعات اطلاعات ممکن است: ایجاد شود. ذخیره شود. پردازش شود. استفاده شود. انتقال داده شود. تخریب شود. دستکاری و تحریف شود. نابود شود.
8
آشنایی با سیستم مدیریت امنیت اطلاعات
Mvaezi.ir آشنایی با سیستم مدیریت امنیت اطلاعات امنیت اطلاعات چیست؟ حفظ محرمانگی، یکپارچگی و در دسترسپذیری اطلاعات. همچنین ویژگیهایی از قبیل سندیت (Authenticity)، پاسخگویی، انکارناپذیری و قابلیت اطمینان را نیز میتواند شامل شود.
9
آشنایی با سیستم مدیریت امنیت اطلاعات
Mvaezi.ir آشنایی با سیستم مدیریت امنیت اطلاعات اجزای اصلی امنیت اطلاعات: دسترسپذیری ویژگی قابلیت دسترسی و قابل استفاده بودن به محض تقاضای یک موجودیت مجاز یکپارچگی ویژگی حفظ صحت، دقت و سلامت دادهها محرمانگی ویژگی در دسترس قرار گرفتن اطلاعات برای موجودیتهای مجاز و جلوگیری از فاش شدن آنها
10
محرمانگی دسترسپذیری یکپارچگی آشنایی با سیستم مدیریت امنیت اطلاعات
Mvaezi.ir آشنایی با سیستم مدیریت امنیت اطلاعات سازمان نیازمند برقراری یک تعادل مناسب بین: محرمانگی دسترسپذیری یکپارچگی
11
آشنایی با سیستم مدیریت امنیت اطلاعات
Mvaezi.ir آشنایی با سیستم مدیریت امنیت اطلاعات مثلث امنیت، عملکرد و راحتی استفاده: هدف: یافتن تعادل مناسب بین این 3 اصل دانستن اهداف سازمان، به چه معنا بودن امنیت و چگونگی شناسایی و اندازهگیری تهدیدات امنیتی، برای دستیابی به میزان مناسبی از تعادل بین این 3 اصل عدم توجه تدریجی کاربران و نادیده گرفتن سیاستهای امنیتی سازمان از سوی آنها، در صورت بیشتر شدن امنیت اطلاعات از یک حد مشخص
12
آشنایی با سیستم مدیریت امنیت اطلاعات
Mvaezi.ir آشنایی با سیستم مدیریت امنیت اطلاعات سیستم مدیریت امنیت اطلاعات چیست؟ قسمتی از سیستم مدیریت کلان، بنا شده بر دیدگاه ریسکهای کسب و کار، به منظور ایجاد، پیادهسازی، اجرا، پایش، بازنگری، نگهداری و بهبود امنیت اطلاعات سیستم مدیریتی، شامل ساختار سازمانی، خطمشیها، طرحریزی فعالیتها، مسئولیتها، تجربهها، روشهای اجرایی، فرایندها و منابع است.
13
آشنایی با سیستم مدیریت امنیت اطلاعات
Mvaezi.ir آشنایی با سیستم مدیریت امنیت اطلاعات به رسمیت شناختن امنیت اطلاعات به عنوان یک موضوع مدیریتی در ISMS
14
مزایای پیادهسازی سیستم مدیریت امنیت اطلاعات
Mvaezi.ir مزایای پیادهسازی سیستم مدیریت امنیت اطلاعات مزایای پیادهسازی و استقرار سیستم مدیریت امنیت اطلاعات: بهبود طرحها و فعالیتهای سازمان تأمین اهداف امنیت اطلاعات سازمان امنیت اطلاعات و داراییهای اطلاعاتی حفظ محرمانگی و در دسترس بودن اطلاعات تطابق با آيین نامهها و قوانین و مقررات مربوط به کار رضایت نیازمندیهای امنیتی مشتریان و سایر ذینفعان حفظ اطلاعات از بروز تهدیدها، آسیب پذیریها و مخاطرات در حد امکان
15
مزایای پیادهسازی سیستم مدیریت امنیت اطلاعات
Mvaezi.ir مزایای پیادهسازی سیستم مدیریت امنیت اطلاعات آمادگی برای مواجه شدن با حوادثی كه امنیت اطلاعات را به مخاطره میاندازند. ایجاد اطمینان بیشتر برای مدیران، كاركنان، مشتریان و سایر ذینفعان سازمان در مورد امنیت اطلاعات مدیریت داراییهای اطلاعاتی در یک روش سازمانیافته که به بهبود مستمر و تعدیل با اهداف سازمانی کنونی کمک میکند.
16
استانداردهای ممیزی ISMS
Mvaezi.ir استانداردهای سیستم مدیریت امنیت اطلاعات مروری بر استانداردهای خانواده سیستم مدیریت امنیت اطلاعات: استانداردهای ممیزی ISMS ISO/IEC 27006 ISO/IEC 27007 ISO/IEC 27008 ISO 19011 ISO/IEC 17021 استانداردهای ISMS ISO/IEC 27000 ISO/IEC 27001 ISO/IEC 27002 ISO/IEC 27003 ISO/IEC 27004 ISO/IEC 27005
17
انواع ممیزی سیستم مدیریت امنیت اطلاعات
Mvaezi.ir انواع ممیزی سیستم مدیریت امنیت اطلاعات انواع ممیزی ISMS مرحله اول مرحله دوم صدور گواهی بازبینی صدور گواهی مجدد خاص
18
تاریخچه سیستم مدیریت امنیت اطلاعات
Mvaezi.ir تاریخچه سیستم مدیریت امنیت اطلاعات BS 7799 Part 1 ISO/IEC 17799:2000 2013 ISO/IEC 27001:2013 BS :2005 BS :2005 ISO/IEC 17799:2005 ISO/IEC 27001:2005 2005 2002 BS :2002 (revised & corrected) 2001 Review of BS 2000 1999 Updated version of BS 7799 Parts 1 & 2 1998 BS 7799 Part 2 1995
19
الزامات سیستم مدیریت امنیت اطلاعات
Mvaezi.ir الزامات سیستم مدیریت امنیت اطلاعات دارای 14 بند، 35 هدف کنترلی و 114 کنترل امنیتی
20
دیدگاه فرایندگرا در سیستم مدیریت امنیت اطلاعات
Mvaezi.ir دیدگاه فرایندگرا در سیستم مدیریت امنیت اطلاعات دیدگاه فرایندگرا یعنی بکارگیری سیستمی از فرایندهای درون سازمان، همراه با شناسایی و تعیین ارتباط متقابل این فرایندها و همچنین مدیریت آنها فرایند: مجموعه فعالیتهای مرتبط و تأثیرگذار که ورودیها را به خروجیها تبدیل میکند. سازمان سازمان
21
دیدگاه فرایندگرا در سیستم مدیریت امنیت اطلاعات
Mvaezi.ir دیدگاه فرایندگرا در سیستم مدیریت امنیت اطلاعات نگرش فرایندی: فرایند ورودیها کنترلها منابع اثربخشی فرایند: میزان تحقق فعالیتها و دستیابی به نتایج برنامهریزی شده محصول
22
دیدگاه فرایندگرا در سیستم مدیریت امنیت اطلاعات
Mvaezi.ir دیدگاه فرایندگرا در سیستم مدیریت امنیت اطلاعات تعامل بین فرایندها: شناسایی، درک و مدیریت فرایندهای مرتبط با هم به صورت یک سیستم، اثربخشی و کارایی سازمان را دستیابی به اهداف مورد نظر تسهیل میکند. R R I I فرایند الف O I فرایند ب O R I I R C C I فرایند ج O I فرایند د O I= Input O= Output R= Resources C= Controls I C C
23
چرخه PDCA در سیستم مدیریت امنیت اطلاعات
Mvaezi.ir چرخه PDCA در سیستم مدیریت امنیت اطلاعات چرخه PDCA PLAN DO CHECK ACT PDCA میتواند بر تمام فرایندهای ISMS اعمال شود.
24
چرخه PDCA در سیستم مدیریت امنیت اطلاعات
Mvaezi.ir چرخه PDCA در سیستم مدیریت امنیت اطلاعات طرح (Plan): تعیین اهداف و فرایندهای مورد نیاز برای دستیابی به نتایج، در تطابق با الزامات استاندارد PLAN DO CHECK ACT
25
چرخه PDCA در سیستم مدیریت امنیت اطلاعات
Mvaezi.ir چرخه PDCA در سیستم مدیریت امنیت اطلاعات اجرا (Do): استقرار فرایندها PLAN DO CHECK ACT
26
چرخه PDCA در سیستم مدیریت امنیت اطلاعات
Mvaezi.ir چرخه PDCA در سیستم مدیریت امنیت اطلاعات بررسی (Chech): پایش و اندازهگیری فرایندها مطابق با الزامات استاندارد و نیز گزارشدهی نتایج PLAN DO CHECK ACT
27
چرخه PDCA در سیستم مدیریت امنیت اطلاعات
Mvaezi.ir چرخه PDCA در سیستم مدیریت امنیت اطلاعات اقدام (Act): انجام اقدامات مستمر برای بهبود عملکرد فرایندها PLAN DO CHECK ACT
28
چرخه PDCA در سیستم مدیریت امنیت اطلاعات
Mvaezi.ir چرخه PDCA در سیستم مدیریت امنیت اطلاعات اجرای چرخه PDCA: ایجاد سیستم مدیریت امنیت اطلاعات استقرار و عملیاتی کردن سیستم مدیریت امنیت اطلاعات پایش و بازنگری سیستم مدیریت امنیت اطلاعات نگهداری و بهبود سیستم مدیریت امنیت اطلاعات طرح طرفهای ذینفع طرفهای ذینفع اجرا اقدام خواستهها و الزامات امنیت اطلاعات امنیت اطلاعات اداره شده بررسی
29
چرخه PDCA در سیستم مدیریت امنیت اطلاعات
Mvaezi.ir چرخه PDCA در سیستم مدیریت امنیت اطلاعات . بهبود مستمر بر اساس چرخه دمینگ بهبود PLAN DO CHECK ACT سازوکارها
30
چرخه PDCA در سیستم مدیریت امنیت اطلاعات
Mvaezi.ir چرخه PDCA در سیستم مدیریت امنیت اطلاعات فرایند بهبود مستمر:
31
سیستم مدیریت امنیت اطلاعات
Mvaezi.ir سیستم مدیریت امنیت اطلاعات نتیجهگیری: ایجاد و استمرار امنیت اطلاعات با سیستم مدیریت امنیت اطلاعات
32
سیستم مدیریت امنیت اطلاعات
Mvaezi.ir سیستم مدیریت امنیت اطلاعات منابع: ISO/IEC 27000:2009 Standard ISO/IEC 27001:2013 Standard ISO/IEC 27006:2008 Standard
33
Mvaezi.ir با تشکر از توجه شما
Similar presentations
![IEEE P1363.2 - AMP March 25, 2004. History 1/3 May 2000 [Kw00] –First proposal to IEEE P1363 February 2001 [Kw01] –Presented at NDSS ’01, San Diego, CA.](/32/9966705/big_thumb.jpg "IEEE P1363.2 - AMP March 25, 2004. History 1/3 May 2000 [Kw00] –First proposal to IEEE P1363 February 2001 [Kw01] –Presented at NDSS ’01, San Diego, CA.>")
