Presentation is loading. Please wait.

Presentation is loading. Please wait.

استاندارد مدیریت امنیت اطلاعات ISO 2700X

Published byRaúl Martin Benítez Modified over 5 years ago

Similar presentations

Presentation on theme: "استاندارد مدیریت امنیت اطلاعات ISO 2700X"— Presentation transcript:

1 استاندارد مدیریت امنیت اطلاعات ISO 2700X
ارائه دهنده: حسین محمدحسن زاده 24 اردیبهشت 1392 H.M.Hassanzade,

2 دارائی چیست؟ هر چیزی که برای سازمان دارای ارزش می باشد.
انواع دارايی ها: دارایی های اطلاعاتی مستندات کاغذی دارایی های نرم افزاری دارایی های فیزیکی منابع انسانی وجهه و شهرت سازمان سرویس ها H.M.Hassanzade,

3 اطلاعات چيست؟ داده های پردازش شده که مبنایی برای تصمیم گیری می باشند.
اطلاعات یك دارایـی است كه هماننـد سایر دارایی های مهم برای فعالیت هـای کاری یك سازمان بسیار اساسی است. بدون محافظت از اطلاعات ممکن است: محرمانگی کاهش یابد. بدون دانش (عمدی یا غیرعمدی) دستکاری شود. به صورت جبران ناپذیری پاک شده یا از بین برود. غیرقابل دسترس شود. H.M.Hassanzade,

4 مثال هایی از اطلاعات کاغذی مستندات مراسلات متداول رسانه های الکترونیکی
سوابق پایگاه داده ایمیل ها CD ROM ها، DVD ROM ها، نوارها و ... فیلم ها مکالمات اطلاعات بیان شده به مشتری اطلاعات بیان شده در جلسات H.M.Hassanzade,

5 چرا به امنیت اطلاعات نیاز داریم؟
به طور جهانی پذیرفته شده است که اطلاعات برای سازمان ها و کسب و کار ها حیاتی است نیاز است با حفظ محرمانگی، یکپارچگی و دسترس پذیری اطلاعات سازمان و مشتری، تداوم کسب و کار مزیت رقابتی درآمد نقدی کاهش خسارات وارده به کسب و کار سودآوری افزايش ارزش افزوده فراهم آید. H.M.Hassanzade,

6 امنیت اطلاعات اطلاعات می بایست به صورت امن: امنیت شامل: ایجاد شود
استفاده شود ذخیره شود انتقال داده شود امنیت شامل: امنیت محصول امنیت فنآوری اطلاعات امنیت سازمانی H.M.Hassanzade,

7 ISO 2700X چیست؟ قابل استفاده در تمامی بخش های صنعت و تجارت
محدود به اطلاعات سیستم های الکترونیکی نمی شود هر گونه اطلاعات را در هر فرم پشتیبانی می کند مستندات ارتباطات مکالمات پیام ها تصاویر و ... H.M.Hassanzade,

8 مزایای گواهینامه ISO 2700X Certification
نشان می دهد امنیت اطلاعات شناسایی، پیاده سازی و به خوبی کنترل شده است مشتریان، کارمندان، شرکای تجاری و ذینفعان قانع می شوند که اطلاعات و سیستم های مدیریتی شما ایمن است به همراه خود اعتبار و اعتماد می آورد صرفه جویی – حتی کوچکترین نشت اطلاعات، می تواند هزینه سنگینی به همراه داشته باشد نشان می دهد که الزام به امنیت اطلاعات در تمامی سطوح سازمان برقرار است H.M.Hassanzade,

9 اهداف کنترلی در ISO 2700X ایزو تعدادی کنترل و اهداف کنترلی را شامل می شود اهداف کنترلی عبارتند از: خطی مشی های امنیتی امنیت سازمانی طبقه بندی و کنترل دارائی امنیت پرسنل امنیت فیزیکی و محیطی مدیریت ارتباطات و عملیات کنترل دسترسی توسعه و نگهداری سیستم مدیریت حوادث مدیریت تداوم کسب و کار انطباق با الزامات قانونی این کنترل ها در بخش های 5 تا 15 استاندارد ISO IEC ارائه شده است H.M.Hassanzade,

10 اهداف کنترلی 5- خط مشی امنیتی الف-5-1- خط مشی امنیت اطلاعات سند خط مشی امنیت اطلاعات بازنگری خط مشی امنیت اطلاعات H.M.Hassanzade,

11 اهداف کنترلی 5- خط مشی امنیتی خطی مشی (Policies) استاندارد (Standard)
احکام سطح بالا که مدیران را به هنگام تصمیم گیری، در زمان حال یا آینده، راهنمایی می کند. استاندارد (Standard) بیان نیازمندی هایی که جزئیات تکنیکی اعمال خطی مشی را فراهم می آورند رهنمون (Guideline) ویژگی های اختیاری، اما توصیه شده! H.M.Hassanzade,

12 اهداف کنترلی 5- خط مشی امنیتی
Access to network resource will be granted through a unique user ID and password Passwords should include one non-alpha and not found in dictionary Passwords will be 8 characters long H.M.Hassanzade,

13 اهداف کنترلی (ادامه) 6- امنیت اطلاعات سازمان الف-6-1- سازمان داخلی تعهد مدیریت به امنیت اطلاعات هماهنگی امنیت اطلاعات تخصیص مسئولیت های امنیت اطلاعات فرآیند مجازسازی برای امکانات پردازش اطلاعات توافق نامه محرمانگی برقراری ارتباط با اولیای امور برقراری ارتباط با گروه های دارای گرایش خاص بازنگری مستقل امنیت اطلاعات الف-6-2- طرف های بیرونی شناسایی مخاطرات مرتبط با طرف های بیرونی نشانی دهی امنیت هنگام سر و کار داشتن با مشتریان نشانی دهی امنیت در توافق نامه های شخص ثالث H.M.Hassanzade,

14 اهداف کنترلی (ادامه) 7- مدیریت دارایی 7-1- مسئولیت دارایی ها سیاهه اموال مالکیت دارایی ها استفاده پسندیده از دارایی ها 7-2- طبقه بندی اطلاعات خطوط راهنمای طبقه بندی علامت گذاری و اداره کردن اطلاعات H.M.Hassanzade,

15 اهداف کنترلی (ادامه) 8- امنیت منابع انسانی 8-1- پیش از اشتغال
نقش ها و مسئولیت ها گزینش ضوابط و شرایط استخدام 8-2- حین خدمت مسئولیت های مدیریت آگاه سازی، تحصیل و آموزش امنیت اطلاعات فرآیند انضباطی 8-3- خاتمه استخدام یا تغییر در شغل مسئولیت های خاتمه خدمت عودت دارایی ها حذف حقوق دسترسی H.M.Hassanzade,

16 اهداف کنترلی (ادامه) 9- امنیت فیزیکی و محیطی 9-1- نواحی امن
9-2- امنیت تجهیزات استقرار و حفاظت تجهیزات امکانات پشتیبانی امنیت کابل کشی نگهداری تجهیزات امنیت تجهیزات خارج از ابنیه امحاء یا استفاده مجدد از تجهیزات به صورت ایمن خروج دارایی 9-1- نواحی امن حصار امنیت فیزیکی کنترل های مداخل فیزیکی ایمن سازی دفاتر، اتاق ها و امکانات محافظت در برابر تهدیدهای بیرونی و محیطی کار در نواحی امن دسترسی عمومی، نواحی تحویل و بارگیری H.M.Hassanzade,

17 اهداف کنترلی (ادامه) 10- مدیریت ارتباطات و عملیات روش های اجرایی عملیاتی و مسئولیت ها مدیریت ارائه خدمت شخص ثالث طرح ریزی و پذیرش سیستم حفاظت در برابر کدهای مخرب و سیار نسخ پشتیبان مدیریت امنیت شبکه مدیریت محیط های ذخیره سازی تبادل اطلاعات خدمات تجارت الکترونیک پایش H.M.Hassanzade,

18 اهداف کنترلی (ادامه) 11-کنترل دسترسی الزامات کسب و کار برای کنترل دسترسی مدیریت دسترسی کاربر مسئولیت های کاربر کنترل دسترسی به شبکه کنترل دسترسی به سیستم عامل کنترل دسترسی به برنامه های کاربردی و اطلاعات محاسبه سیار و کار از راه دور H.M.Hassanzade,

19 اهداف کنترلی (ادامه) 12- اکتساب، توسعه و نگهداری سیستم های اطلاعاتی الزامات امنیتی سیستم های اطلاعاتی پردازش صحیح در برنامه های کاربردی کنترل های رمزنگاری امنیت پرونده های سیستم امنیت در فرآیند های توسعه و پشتیبانی مدیریت آسیب پذیری فنی H.M.Hassanzade,

20 اهداف کنترلی (ادامه) 13- مدیریت حوادث امنیت اطلاعات گزارش دهی وقایع و ضعف های امنیت اطلاعات گزارش دهی وقایع امنیت اطلاعات گزارش دهی ضعف های امنیتی مدیریت حوادث و بهبود های امنیت اطلاعات مسئولیت ها و روش های اجرایی یادگیری از حوادث امنیت اطلاعات گردآوری شواهد H.M.Hassanzade,

21 اهداف کنترلی (ادامه) 14- مدیریت تداوم کسب و کار جنبه های امنیت اطلاعات مدیریت تداوم کسب وکار لحاظ کردن امنیت اطلاعات در فرآیند مدیریت تداوم کسب و کار تداوم کسب و کار و برآورد مخاطرات ایجاد و پیاده سازی طرح های تداوم دربرگیرنده امنیت اطلاعات چارچوب طرح ریزی تداوم کسب و کار آزمایش، نگهداری و ارزیابی مجدد طرح های تداوم کسب و کار 15- انطباق انطباق با الزامات قانونی انطباق با خط مشی ها و استانداردهای امنیتی و انطباق فنی ملاحظات ممیزی سیستم های اطلاعاتی H.M.Hassanzade,

22 پیاده سازی در سازمان توسعه یک سیستم مدیریت امنیت اطلاعات که الزامات و کنترل های ایزو را برآورده سازد، شامل سه گام کلی زیر می شود: ساخت یک چارچوب مدیریتی برای اطلاعات تنظیم جهات و اهداف امنیت اطلاعات تعریف یک خطی مشی که الزامات مدیریتی را به همراه داشته باشد شناسایی و ارزیابی ریسک های امنیتی معرفی مناسب ترین عمل مدیریتی تشخیص اولویت های مدیریت امنیت اطلاعات انتخاب و اجرای کنترل ها نیاز است که کنترل ها تضمین دهند ریسک به سطح مورد پذیرش کاهش یافته و اهداف سازمان برآورده می شود کنترل ها در قالب خطی مشی ها، فرآیند ها و ساختار سازمانی و توابع نرم افزاری ارائه می شوند H.M.Hassanzade,

23 پیاده سازی 27001 در سازمان دامنه ISMS تعریف دامنه و مرزهای ISMS گام 1
گام 2 مستندات رویکرد برآورد مخاطرات تعریف رویکرد برآورد مخاطرات گام 3 لیستی از تهدیدها، آسیب پذیری ها و آسیب ها شناسایی مخاطرات گام 4 گزارشی از آسیب های کسب وکار و احتمال آنها تحلیل و ارزیابی مخاطرات گام 5 طرح برطرف سازی مخاطرات شناسایی و ارزیابی گزینه های برطرف سازی مخاطرات گام 6 لیستی از اهداف کنترلی و کنترل ها انتخاب کنترل ها و اهداف کنترلی گام 7 سوابق مخاطرات باقی مانده تأیید شده کسب مجوز برای مخاطرات باقی مانده پیشنهادشده گام 8 مجوز مدیریت برای پیاده سازی ISMS کسب مجوز مدیریت برای پیاده سازی ISMS گام 9 بیانیه کاربست پذیری تهیه بیانیه کاربست پذیری گام 10

24 گام 1؛ تعریف دامنه و مرزهای ISMS
قانون گذاران بازدیدکنندگان پیمانکاران مشتریان خارج سازمان - داخل دامنه داخل سازمان - خارج دامنه داخل سازمان - داخل دامنه منابع انسانی مالی بازرگانی مشاور امنیت اجرایی طرح و برنامه خرید و تدارکات مدیریت H.M.Hassanzade,

25 گام 2؛ تعریف خطی مشی ISMS تعریفی از امنیت اطلاعات، اهداف کلان و اصول امنیت اطلاعات در راستای راهبرد و اهداف کسب و کار. شرح مختصری از خط مشی های امنیتی، اصول، استانداردها و برآوردسازی الزاماتی که مشخصاً برای سازمان اهمیت دارند، شامل: انطباق با مراجع قانونی، قوانین و الزامات قراردادی الزامات کسب وکار هماهنگ با مدیریت مخاطرات و معیار پذیرش آن. ارجاعاتی به مستندسازی که ممکن است پشتیبان خط مشی باشند. H.M.Hassanzade,

26 گام 3؛ تعریف رویکرد برآورد مخاطرات
شناسایی یک متدولوژی برآورد مخاطرات که برای سیستم مدیریت امنیت اطلاعات و امنیت اطلاعات شناسایی شده کسب وکار، الزامات قانونی و آئین نامه ای، متناسب باشد. تصمیم گیری برای انتخاب متد، بر عهده سازمان است. مانند: روش FMEA مقرون به صرفه واقع بینانه متعادل استفاده از ابزارهای نرم افزاری مانند: VS Risk، Callio، Cobra و... H.M.Hassanzade,

27 گام 4؛ شناسایی مخاطرات مخاطره، عامل بالقوه ای است که یک تهدید معین، از آسیب پذیری ها به گونه ای بهره جویی نماید که باعث از دست رفتن یا بروز خسارت به یک یا گروهی از دارایی ها شده و از این طریق به صورت مستقیم یا غیر مستقیم به سازمان آسیب رساند. مخاطره، احتمال اینکه یک تهدید امنیتی خاص بخواهد از یک آسیب پذیری خاص بهره جویی کند. مخاطره، احتمال وقوع یک حادثه امنیتی H.M.Hassanzade,

28 گام 5؛ تحلیل و ارزیابی مخاطرات
هدف: برآورد نهایی مخاطرات (محاسبه ریسک) بستگی به رویکرد ارزیابی مخاطرات برگزیده توسط سازمان دارد. نمونه هایی از نحوه محاسبه ریسک (خطر): ارزش نهایی × احتمال محرمانگی × احتمال یکپارچگی × احتمال دسترس پذیری × احتمال H.M.Hassanzade,

29 گام 6؛ شناسایی و ارزیابی گزینه های برطرف سازی مخاطرات
مدیریت و برطرف سازی مناسب مخاطرات در زمینه کسب و کار، شامل: بکارگرفتن کنترل های مناسب (Apply) پذیرش مخاطرات (Accept) اجتناب (حذف) از مخاطرات (Avoid) انتقال مخاطرات (Transfer) H.M.Hassanzade,

30 گام 7؛ انتخاب کنترل ها و اهداف کنترلی
انتخاب و پیاده سازی کنترل ها و اهداف کنترلی جهت برآورده کردن الزامات شناسایی شده در ارزیابی مخاطرات و فرآیند برطرف سازی مخاطرات در نظر گرفتن معیاری برای پذیرش مخاطرات الزامات قراردادی، قانونی و آیین نامه ای کنترل ها و اهداف کنترلی برگزیده H.M.Hassanzade,

31 گام 8؛ کسب مجوز مدیریت برای مخاطرات باقی مانده پیشنهاد شده
ارزیابی میزان کاهش مخاطرات توسط کنترل ها پیاده سازی کنترل های بیشتر امکان مجبور شدن به پذیرش اجتناب انتقال کسب مصوبه مدیریت برای مخاطرات باقی مانده پیشنهاد شده H.M.Hassanzade,

32 گام 9؛ کسب مجوز مدیریت برای پیاده سازی ISMS
گام 10؛ تهیه بیانیه کاربست پذیری تعریف: بیانیه مستند شده ای که اهداف کنترلی و کنترل های مرتبط و قابل کاربرد در سیستم مدیریت امنیت اطلاعات سازمان را تشریح می کند. یک بیانیه کاربست پذیری شامل موارد ذیل می باشد: اهداف کنترلی و کنترل های برگزیده و دلایل انتخاب آنها. اهداف کنترلی و کنترل هایی که در حال حاضر پیاده سازی شده اند. کنارگذاری هر یک از اهداف کنترلی و کنترل های پیوست الف و توجیه کنارگذاری آنها. H.M.Hassanzade,

33 کلیدهای موفقیت تعهد و الزام مدیریت به مشارکت هدف گذاری کارا در ISMS
پشتیبانی مدیریت ارشد کافی نیست، بلکه بایستی مشارکت فعال داشته باشد این مشارکت، همکاری تمامی سطوح پایین تر را به همراه خواهد داشت هدف گذاری کارا در ISMS لازم است که هوشمندانه، حوزه پروژه محدود شود در غیر این صورت، پروژه به یک «اقیانوس جوشان» تبدیل خواهد شد آموزش و انتقال دانش با درگیر کردن کارمندان مورد هدف در امر توسعه، تعداد ذینفعان افزایش می یابد همچنین ارزش کار انجام شده بهتر درک می شود H.M.Hassanzade,

34 پایان H.M.Hassanzade,

Download ppt "استاندارد مدیریت امنیت اطلاعات ISO 2700X"

Similar presentations

Public hearing European Standardization: improving competitiveness through a new regulatory framework - European Parliament / IMCO 6 key messages on European.

Public hearing European Standardization: improving competitiveness through a new regulatory framework - European Parliament / IMCO 6 key messages on European.
Agenda What is Compliance? Risk and Compliance Management

Agenda What is Compliance? Risk and Compliance Management
Developing a Risk-Based Information Security Program

Developing a Risk-Based Information Security Program
Passwords are the key to network and data security.

Passwords are the key to network and data security.
Woodland Hills School District Computer Network Acceptable Use Policy.

Woodland Hills School District Computer Network Acceptable Use Policy.
Information Security Policies and Standards

Information Security Policies and Standards
Email Basics Dayton Metro Library Place photo here August 10, 2015.

Basics Dayton Metro Library Place photo here August 10, 2015.
Create New Account. Use of the Winland EnviroAlert EA800-ip requires an account for remote access to: –View real-time sensor data –Modify setting configurations.

Create New Account. Use of the Winland EnviroAlert EA800-ip requires an account for remote access to: –View real-time sensor data –Modify setting configurations.
RADIUS Server (Brocade Controller)

RADIUS Server (Brocade Controller)
SecureAware Building an Information Security Management System.

SecureAware Building an Information Security Management System.
Subcommittee 3D DATA SETS FOR LIBRARIES. SC 3D Exchange of dictionary data Cape Town, 2005-10-19 3(Cape Town/Radley)3 Donald Radley Chairman, SC3D.

Subcommittee 3D DATA SETS FOR LIBRARIES. SC 3D Exchange of dictionary data Cape Town, (Cape Town/Radley)3 Donald Radley Chairman, SC3D.
Evolving IT Framework Standards (Compliance and IT)

Evolving IT Framework Standards (Compliance and IT)
Password Management PA Turnpike Commission

Password Management PA Turnpike Commission
ISMS for Mobile Devices Page 1 ISO/IEC 27001 Information Security Management System (ISMS) for Mobile Devices Why apply ISMS to Mobile Devices? Overview.

ISMS for Mobile Devices Page 1 ISO/IEC Information Security Management System (ISMS) for Mobile Devices Why apply ISMS to Mobile Devices? Overview.
Logging onto the Computer for the first time And Signing the Acceptable Use Policy (AUP) for Using the Internet.

Logging onto the Computer for the first time And Signing the Acceptable Use Policy (AUP) for Using the Internet.
Important acronyms AO = authorizing official ISO = information system owner CA = certification agent.

Important acronyms AO = authorizing official ISO = information system owner CA = certification agent.
© 2013 Cambridge Technical CommunicatorsSlide 1 ISO/IEC 27001 Standard for Information Security Management Systems.

© 2013 Cambridge Technical CommunicatorsSlide 1 ISO/IEC Standard for Information Security Management Systems.
Presented by : Miss Vrindah Chaundee

Presented by : Miss Vrindah Chaundee
Microsoft ® Virtual Academy Module 3 Understanding Security Policies Christopher Chapman | Content PM, Microsoft Thomas Willingham | Content Developer,

Microsoft ® Virtual Academy Module 3 Understanding Security Policies Christopher Chapman | Content PM, Microsoft Thomas Willingham | Content Developer,
In the web address box enter https:\\password.sau.edu Enter your user ID (first and last initial 7 digit ID number) Select Log in.

In the web address box enter Enter your user ID (first and last initial 7 digit ID number) Select Log in.

Similar presentations

Ads by Google