پاورپوینت کامل استانداردهای امنیت‌ ۱۰۲ اسلاید در PowerPoint

توجه : این فایل به صورت فایل power point (پاور پوینت) ارائه میگردد

 پاورپوینت کامل استانداردهای امنیت‌ ۱۰۲ اسلاید در PowerPoint دارای ۱۰۲ اسلاید می باشد و دارای تنظیمات کامل در PowerPoint می باشد و آماده ارائه یا چاپ است

شما با استفاده ازاین پاورپوینت میتوانید یک ارائه بسیارعالی و با شکوهی داشته باشید و همه حاضرین با اشتیاق به مطالب شما گوش خواهند داد.

لطفا نگران مطالب داخل پاورپوینت نباشید، مطالب داخل اسلاید ها بسیار ساده و قابل درک برای شما می باشد، ما عالی بودن این فایل رو تضمین می کنیم.

توجه : در صورت  مشاهده  بهم ریختگی احتمالی در متون زیر ،دلیل ان کپی کردن این مطالب از داخل فایل می باشد و در فایل اصلی پاورپوینت کامل استانداردهای امنیت‌ ۱۰۲ اسلاید در PowerPoint،به هیچ وجه بهم ریختگی وجود ندارد

بخشی از متن پاورپوینت کامل استانداردهای امنیت‌ ۱۰۲ اسلاید در PowerPoint :

بخشی از مطالب داخلی اسلاید ها

پاورپوینت کامل استانداردهای امنیت‌ ۱۰۲ اسلاید در PowerPoint

اسلاید ۴: استانداردهای امنیت قابل تقسیم به دو گروه اصلی می باشند که گروه اول در رابطه با امنیت از لحاظ فنی، و گروه دوم در رابطه با امنیت از لحظ مدیریتی است. استانداردهای امنیتی فنی در زمینه هائی نظیر امضاء دیجیتال، رمزنگاری کلید عمومی، رمزنگاری متقارن، توابع درهم ساز، توابع رمزنگاری احراز اصالت پیام و غیره کاربرد دارند. گروه دوم که استانداردهای امنیتی مدیریتی می باشند، قسمت های مختلف مدیریت سازمان را در بر می گیرند. در حال حاضر مجموعه ای ا استانداردهای مدیریتی و فنی امنیت اطلاعات و ارتباطات، ارائه شده اند که استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس، استاندارد مدیریتی ISO/IEC 17799 (نسخه جدید آن ISO/IEC 27001 می باشد) و گزارش فنی ISO/IEC TR 13335 موسسه بین المللی استاندارد، از برجسته ترین استانداردها و راهنماهای فنی محسوب می گردند . در این استانداردها، نکات زیر مورد توجه قرار گرفته است: تعیین مراحل ایمن سازی و نحوه شکل گیری چرخه امنیتجزئیات مراحل ایمن سازی و تکنیکهای فنی مورد استفاده در هر مرحلهلیست و محتوای طرحها و برنامه های امنیت اطلاعات مورد نیاز سازمانضرورت و جزئیات ایجاد تشکیلات سیاستگذاری، اجرائی و فنی تامین امنیتکنترل های امنیتی موردنیاز برای هر یک از سیستم های اطلاعاتی و ارتباطی۴چگونگی روند رو به رشد استاندارد های امنیت

اسلاید ۵: استاندارد BS7799 اولین استاندارد مدیریت امنیت است که توسط موسسه استاندارد انگلیس ارائه شده است. نسخه اول این استاندارد (BS7799-1) در سال ۱۹۹۵ و در یک بخش و با عنوانBS7799-1: Code of Practice for Information Security Management منتشر گردید. و نسخه دوم آن (BS7799-2) که در سال ۱۹۹۹ ارائه شد، علاوه بر تغییر نسبت به نسخه اول، متشکل از دو بخش مستقل ارائه گردید. هدف از تدوین این استاندارد ارائه پیشنهاداتی در زمینه مدیریت امنیت اطلاعات برای کسانی است که مسئول طراحی، پیاده سازی یا پشتیبانی مسائل امنیتی در یک سازمان می باشند. این استاندارد متشکل از ۳۵ هدف امنیتی و ۱۲۷ اقدام بازدارنده برای تامین اهداف تعیین شده می‌باشد که جزئیات و چگونگی‌ها را مطرح نمی کند بلکه سرفصل‌ها و موضوعات کلی را بیان می کند. طراحان استاندارد BS7799 اعتقاد دارند که در تدوین این استاندارد، ممکن است کنترل ها و راهکارهای مطرح شده برای همه سازمان ها قابل استفاده نباشد ویا نیاز به کنترلهای بیشتری باشد که این استاندارد، آنها را پوشش نداده است.۵استانداردBS7799

اسلاید ۶: در سال ۲۰۰۰ میلادی بخش اول استاندارد BS7799-2 بدون هیچگونه تغییری توسط موسسه بین المللی استاندارد بعنوان استاندارد ISO/IEC 17799 منتشر گردید. وشامل سر فصل های ذیل است:تدوین سیاست امنیتی سازمانتشکیلات امنیتیطبقه بندی سرمایه ها و تعیین کنترلهای لازمامنیت پرسنلیامنیت فیزیکی و پیرامونیمدیریت ارتباطات و بهره برداریکنترل دسترسیتوسعه و پشتیبانی سیستم هامدیریت تداوم فعالیتسازگاری۶استانداردBS7799

اسلاید ۷: این استاندارد مجددا در سال ۲۰۰۲ میلادی بازنویسی و منتشر گردید. در سال ۲۰۰۵ دوباره این استاندارد بازنویسی و با دو نام BS ISO/IEC 17799:2005 و BS 7799-1:2005 در یک سند انتشاریافت. این نسخه متشکل از ۳۹ هدف امنیتی و ۱۳۴ اقدام بازدارنده است. تغییراتی که این استاندارد نسبت به استاندارد قبل آن کرده است عبارت است از:الف- افزایش یافتن یک فصل جدید و تغیییر نمودن بعضی از فصول گذشتهب- تغییر وحذف شدن بعضی از کنترلهای قدیمی و اضافه شدن ۱۷ کنترل جدیدج- افزایش تعداد کنترل‌ها به ۱۳۴عدد۷استاندارد BS7799

اسلاید ۸: استاندارد BS7799نحوه عملکرد استاندارد BS 7799 در راستای تحقق دومین هدف پیدایش این استاندارد که به آن اشاره شد، یعنی کمک به کاربران سرفصل‌هایی برای نحوه پیاده سازی امنیت در یک سازمان که در حقیقت یک کاربر سیستم های امنیتی می باشد، تعیین شده است که عبارتند از: ‌ تعیین مراحل ایمن سازی و نحوه شکل گیری چرخه امنیت‌ جزییات مراحل ایمن سازی و تکنیک‌های فنی مورد استفاده در هر مرحله‌ لیست و محتوای طرح ها و برنامه های امنیت اطلاعات مورد نیاز سازمان‌ ضرورت و جزییات ایجاد تشکیلات سیاستگذاری، اجرایی و فنی تامین امنیت‌ کنترل‌های امنیتی مورد نیاز برای هر یک از سیستم های اطلاعاتی و ارتباطی‌ تعریف سیاست‌های امنیت اطلاعات‌ تعریف قلمرو سیستم مدیریت امنیت اطلاعات و مرزبندی آن متناسب با نوع نیازهای سازمان انجام و پذیرش برآورد مخاطرات، متناسب با نیازهای سازمان‌ پیش بینی زمینه ها و نوع مخاطرات بر اساس سیاست‌های امنیتی تدوین شده‌ انتخاب هدف‌های کنترل و کنترل‌های مناسب که قابل توجیه باشند، از لیست کنترل‌های همه جانبه تدوین دستور‌العمل های عملیاتی‌۸

اسلاید ۹: استاندارد BS7799مدیریت امنیت شبکه‌ به منظور تعیین اهداف امنیت، ابتدا باید سرمایه‌های مرتبط با اطلاعات و ارتباطات سازمان، شناسایی شده و سپس اهداف تامین امنیت برای هریک از سرمایه‌ها، مشخص شود.‌سرمایه‌های مرتبط با شبکه سازمان عبارتند از: سخت افزار، نرم‌افزار، اطلاعات، ارتباطات، کاربران. اهداف امنیتی سازمان‌ها باید به صورت کوتاه‌مدت و میان‌مدت تعیین گردد تا امکان تغییر آن‌ها متناسب با تغییرات تکنولوژی‌ها و استانداردهای امنیتی وجود داشته باشد. عمده اهداف کوتاه مدت در خصوص پیاده‌سازی امنیت در یک سازمان عبارتند از: – جلوگیری از حملات و دسترسی‌های غیرمجاز علیه سرمایه های شبکه‌ – مهار خسارت‌های ناشی از ناامنی موجود در شبکه‌ – کاهش رخنه پذیری‌۹

اسلاید ۱۰: استاندارد BS7799اهداف میان‌مدت نیز عمدتاً عبارتند از: – تامین صحت عملکرد، قابلیت دسترسی برای نرم‌افزارها و سخت‌افزارها و محافظت فیزیکی صرفاً برای سخت افزارها – تامین محرمانگی، صحت و قابلیت دسترسی برای ارتباطات و اطلاعات متناسب با طبقه بندی آن‌ها از حیث محرمانگی و حساسیت‌ – تامین قابلیت تشخیص هویت، حدود اختیارات و پاسخگویی، حریم خصوصی و آگاهی‌رسانی امنیتی برای کاربران شبکه، متناسب با طبقه‌بندی اطلاعات قابل دسترس و نوع کاربران‌۱۰

اسلاید ۱۱: استاندارد BS7799 استاندارد BS7799 دارای ۱۰ گروه کنترلی می باشد که هرگروه شامل چندین کنترل زیرمجموعه است بنابراین در کل ۱۲۷ کنترل برای داشتن سیستم مدیریت امنیت اطلاعات مدنظر قراردارد. این ده گروه کنترلی عبارتند از : ۱- تدوین سیاست امنیتی سازمان: در این قسمت، به ضرورت تدوین و انتشار سیاست های امنیتی اطلاعات و ار تباطات سازمان ، بنحوی که کلیه مخاطبین سیاست ها در جریان جزئیات آن قرار گیرند، تاکید شده است . همچنین جزئیات و نحوه نگارش سیاست های امنیتی اطلاعات و ارتباطات سازمان، ارائه شده است. ۲- ایجاد تشکیلات تامین امنیت سازمان:در این قسمت، ضمن تشریح ضرورت ایجاد تشکیلات امنیت اطلاعات و ارتباطات سازمان، جزئیات این تشکیلات در سطوح سیاستگذاری، اجرائی و فنی به همراه مسئولیت های هر یک از سطوح، ارائه شده است.-۳ دسته بندی سرمایه ها و تعیین کنترل های لازم :در این قسمت، ضمن تشریح ضرورت دسته بندی اطلاعات سازمان، به جزئ یات تدوین راهنمای دسته بندی اطلاعات سازمان پرداخته و محورهای دسته بندی اطلاعات را ارائه نموده است.. ن ۱۱

اسلاید ۱۲: استاندارد BS7799 -4 امنیت پرسنلی :در این قسمت، ضمن اشاره به ضرورت رعایت ملاحظات امنیتی در بکارگیری پرسنل، ضرورت آموزش پرسنل در زمینه امنیت اطلاعات و ارتباطات، مطرح شده و لیستی ازمسئولیت های پرسنل در پروسه تامین امنیت اطلاعات و ارتباطات سازمان، ارائه شدهاست.۵ امنیت فیزیکی و پیرامونی :در این قسمت، اهمیت و ابعاد امنیت فیزیکی، جزئیات محافظت از تجهیزات و کنترلهای موردنیاز برای این منظور، ارائه شده است.۶ مدیریت ارتباطات :در این قسمت، ضرورت و جزئیات روالهای اجرائی موردنیاز، بمنظور تعیین مسئولیت هریک از پرسنل، روالهای مربوط به سفارش، خرید، تست و آموزش سیستم ها، محافظت درمقابل نرم افزارهای مخرب، اقدامات موردنیاز در خصوص ثبت وقایع و پشتیبان گیری ازاطلاعات، مدیریت شبک ه، محافظت از رسانه ها و روالها و مسئولیت های مربوط بهدرخواست، تحویل، تست و سایر موارد تغییر نرم افزارها ارائه شده است.۱۲

اسلاید ۱۳: استاندارد BS7799 -7 کنترل دسترسی :در این قسمت، نیازمندیهای کنترل دسترسی، نحوه مدیریت دسترسی پرسنل،مسئولیت های کاربران، ابزارها و مکانیزم های کنترل دسترسی در شبکه، کنترل دسترسی در سیستم عاملها و نرم افزارهای کاربردی، استفاده از سیستم های مانیتورینگ و کنترل دسترسی در ارتباط از راه دور به شبکه ارائه شده است.-۸ نگهداری و توسعه سیستم ها:در این قسمت، ضرورت تعیین نیازمندیهای امنیتی سیستم ها، امنیت د ر سیستم های کاربردی، کنترلهای رمزنگاری، محافظت از فایلهای سیستم و ملاحظات امنیتی موردنیازدر توسعه و پشتیبانی سیستم ها، ارائه شده است.۱۳

اسلاید ۱۴: استاندارد BS7799 -9 مدیریت تداوم فعالیت سازمان :در این قسمت، رویه های مدیریت تداوم فعالیت، نقش تحلیل ضربه در تداوم فعالیت، طراحی و تدو ین طرح های تداوم فعالیت، قالب پیشنهادی برای طرح تداوم فعالیت سازمان و طرح های تست، پشتیبانی و ارزیابی مجدد تداوم فعالیت سازمان، ارائه شده است.-۱۰ پاسخگوئی به نیازهای امنیتی :در این قسمت، مقررات موردنیاز در خصوص پاسخگوئی به نیازهای امنیتی، سیاست های امنیتی موردنیاز و ابزارها و مکانیزم های بازرسی امنیتی سیستم ها، ارائه شده است.۱۴

اسلاید ۱۵: استاندارد BS7799تهدیدهای امنیتی تهدیدهای بالقوه برای امنیت شبکه‌های کامپیوتری به صورت عمده عبارتند از: فاش شدن غیرمجاز اطلاعات در نتیجه استراق‌سمع داده‌ها یا پیام‌های در حال مبادله روی شبکه‌ قطع ارتباط و اختلال در شبکه به واسطه یک اقدام خرابکارانه‌ تغییر و دستکاری غیر مجاز اطلاعات یا یک پیغام ارسال‌شده برای جلوگیری از این صدمات باید سرویس‌های امنیتی زیر در شبکه‌های کامپیوتری ارائه شود و زمانی که یکی از سرویس‌های امنیتی نقص شود بایستی تمامی تدابیر امنیتی لازم برای کشف و جلوگیری رخنه در نظر گرفته شود: محرمانه ماندن اطلاعات‌ احراز هویت فرستنده پیغام‌ سلامت داده‌ها در طی انتقال یا نگهداری‌ کنترل دسترسی و امکان منع افرادی که برای دسترسی به شبکه قابل اعتماد نمی باشد. در دسترس بودن تمام امکانات شبکه برای افراد مجاز و عدم امکان اختلال در دسترسی‌ ۱۵

اسلاید ۱۶: استاندارد BS7799 قالبی مطمئن برای داشتن یک سیستم مورد اطمینان امنیتی می باشد. در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است: – اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها – اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها – قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات – ایجاد اطمینان نزد مشتریان و شرکای تجاری – امکان رقابت بهتر با سایر شرکت ها – ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات – بخاطر مشکلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید ۱۶فوائد استاندارد BS7799 و لزوم پیاده سازی

اسلاید ۱۷: ISO/IEC17799 استاندارددر حال حاضر، مجموعه‌ای از استانداردهای مدیریتی و فنی ایمن‌سازی فضای تبادل اطلاعات سازمان‌ها ارائه شده‌اند که استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس، استاندارد مدیریتی ISO/IEC 17799 موسسه بین‌المللی استاندارد و گزارش فنی ISO/IEC TR 13335 موسسه بین‌المللی استاندارد از برجسته‌ترین استاندادرها و راهنماهای فنی در این زمینه محسوب می‌گردند. در این استانداردها، نکات زیر مورد توجه قرار گرفته شده است:۱- تعیین مراحل ایمن‌سازی و نحوه شکل‌گیری چرخه امنیت اطلاعات و ارتباطات سازمان۲- جرئیات مراحل ایمن‌سازی و تکنیکهای فنی مورد استفاده در هر مرحله۳- لیست و محتوای طرح‌ها و برنامه‌های امنیتی موردنیاز سازمان۴- ضرورت و جزئیات ایجاد تشکیلات سیاستگذاری، اجرائی و فنی تامین امنیت اطلاعات و ارتباطات سازمان۵- کنترل‌های امنیتی موردنیاز برای هر یک از سیستم‌های اطلاعاتی و ارتباطی سازمان۱۷

اسلاید ۱۸: استاندارد ISO 27001 (نسخه به روز BS7799) یا به عبارتی همان استاندارد ISO/IEC 17799 می باشد ،نکته قابل اشاره در این زمینه همسانی این استاندارد با استاندارد ISO9000 می‌باشد. قسمت سوم استاندارد BS7799 در حقیقت توسعه سیستم ISMS می‌باشد. درست مانند تغییرات ایجاد شده در استاندارد ISO9004.استاندارد ISO 27001 استانداردی یکپارچه می باشد که در قسمت بعد از این ارائه به توضیح کامل بندهای آن می پردازیم .۱۸استاندارد ایزو ۲۷۰۰۱

اسلاید ۱۹: ۱۹سازمان بین المللی استاندارد(ISO) international organization for standardizationمحل آن درکشور سوئیس شهر ژنونحت پوشش سازمان ملل یاصندوق بین المللی پول نیستسازمانی مستقل واعضای آن از۱۴۶کشور تشکیل شده استوظیفه آن تدوین استاندارد می باشد فعالیتهای ممیزی وصدور گواهینامه راانجام نمی دهدباتوجه به نیازهای جهانی تغییر می کند.

اسلاید ۲۰: ۲۰تولداستانداردمدیریت امنیت اطلاعات استاندارد ISO/IEC 27001توسط کمیته فنی مشترک ISO/IEC JTC 1 (فناوری اطلاعات ،زیر کمیته SC 27 ،فنون امنیتی فناوری اطلاعات )تهیه شده است ودرسال ۲۰۰۵ موردبازنگری قرارگرفت

اسلاید ۲۱: ۲۱مزایای استقرار استاندارد ایزو ۲۷۰۰۱ – اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها – اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها – قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات ایجاد اطمینان نزد مشتریان و شرکای تجاری

اسلاید ۲۲: ۲۲مزایای استقرار استاندارد ایزو ۲۷۰۰۱ (ادامه)- امکان رقابت بهتر با سایر شرکت ها ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعاتبخاطر مشکلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید

اسلاید ۲۳: ۲۳DoCheckPlanActعملکردزمان خط بهبود مستمربهبود مستمر

اسلاید ۲۴: ۴-الزامات سیستم مدیریت امنیت اطلاعات Information security management system requirements

اسلاید ۲۵: ۲۵۴-۱-الزامات کلی سازمان باید یک سیستم مدیریت امنیت اطلاعات رامطابق باالزامات این استاندارد بین المللی درچارچوب تمامی فعالیتهای کلان کسب وکار سازمان ومخاطراتی که با آن مواجه است ایجاد، مستند ،مستقرونگهداری نمایدوبطورمستمربهبوددهدوچگونگی تحقق این الزامات رانیز مشخص نماید

اسلاید ۲۶: ۲۶ ۴-۲ ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMSسازمان باید موارد زیر را انجام دهد : الف) :سازمان باید دامنه کاربرد ومرزهای سیستم امنیت اطلاعات خودرا بر مبنای ویژگیهای کسب وکار ،سازمان ،مکان ،دارائی ها و فناوری آن تعریف ومدون نماید و مشتمل برجزئیات وتوجیه برای کناره گذاری هر چیزی از دامنه ب ) مدیریت رده بالا باید خط مشی سیستم امنیت اطلاعات بر مبنای ویژگی های کسب و کار ،سازمان ،مکان ،دارائی ها و فناوری آن تعریف که:.

اسلاید ۲۷: ۲۷۱) مشتمل بر چارچوبی برای تعیین اهداف وایجاد یک درک کلان از مسیر و مبانی برای اقدام با توجه به امنیت اطلاعات .۲) در بر گیرنده کسب وکار ،الزامات قانونی یا آیین نامه و تعهدات امنیتی قراردادی باشد. ۳):با مفاد مدیریت مخاطرات راهبردی سازمان که درایجاد و نگهداری سیستم مدیریت امنیت اطلاعات لحاظ خواهد شد ،هماهنگ شود .۴) معیاری ایجاد کند که مطابق آن مخاطرات ارزیابی خواهند شد .۵) توسط مدیریت تصویب شود۴-۲ ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید ۲۸: ج ) تعریف رویکرد برآورد سازی مخاطرات سازمان ۱)شناسایی یک متدولوژی بر آورد مخاطرات متناسب ۲)ایجاد معیاری برای پذیرش مخاطرات وشناسایی سطوح قابل قبول د )شناسایی مخاطرات ۱)شناسایی دارائی های واقع دردامنه سیستم ۲)شناسایی تهدیدهای بالقوه وبالفعل متوجه دارائی ها ۳)شناسایی آسیبهای بالقوه و بالفعل حاصل از تهدیدها ۴)شناسایی آسیبهای حاصل از عدم رعایت امنیت ،محرمانگی ،یکپارچگی ۲۸۴-۲ ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید ۲۹: ه)تحلیل و ارزیابی مخاطرات :۱)برآورد تاثیرات کسب وکارکه حاصل ازعدم رعایت سیستم امنیت اطلاعات۲)برآورد واقع گرایانه احتمال بروز نقیصه های امنیتی ،با در نظر گرفتن تهدیدها و آسیبهای امنیتی ۳)تخمین سطوح مخاطرات ۴)مقایسه این مخاطرات با معیارهای پذیرش وتعیین اینکه درحد قابل قبول هستند یا نیاز به اقدام اصلاحی ۲۹۴-۲ ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید ۳۰: و):شناسایی و ارزیابی گزینه هایی برای برطرف سازی مخاطرات:۱)به کار گیری کنترلهای مناسب۲)پذیرش مخاطرات به صورت آگاهانه وهدفمند۳)اجتناب از مخاطرات۴)انتقال مخاطرات کسب و کاربه طرف های دیگر ز):گزینش اهداف کنترلی و کنترل هایی به منظور برطرف سازی مخاطرات:ح)دریافت مصوبه مدیریت برای مخاطرات باقیمانده پیشنهادی۳۰۴-۲ ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید ۳۱: ط)دریافت مجوز مدیریت برای پیاده سازی واجرای سیستم مدیریت امنیت اطلاعات ی)تهیه بیانیه کاربست که شامل موارد زیر باشد: ۱-اهداف کنترلی برگزیده و دلایل انتخاب آنها۲-اهداف کنترلی وکنترلهایی که در حال حاضرپیاده سازی شده اند ۳)کناره گذاری هریک از اهداف کنترلی وتوجیه کناره گذاری آنها ۳۱۴-۲ ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید ۳۲: ۴-۲-۲-پیاده سازی واجرای سیستم مدیریت امنیت اطلاعاتسازمان باید موارد زیر را انجام دهد:الف )قاعده مند کردن یک طرح برطرف سازس مخاطرات ،به منظور مدیریت کردن مخاطرات امنیت اطلاعات ،که اقدام مدیریتی مناسب ،منابع ،مسئولیت ها واولویت ها را شناسایی کندب )پیاده سازی طرح طرح برطرف سازی مخاطرات به منظور دستیابی به اهداف کنترلی شناسایی شده،که دربرگیرنده ملاحظات مالی وتخصیص نقش ها ومسئولیت ها باشدج) پیاده سازی کنترل های برگزیده شده به منظور برآورده سازی اهداف کنترلی ۳۲۴-۲ ایجاد ومدیریت سیستم امنیت اطلاعاتی Estabilishng and mananging the ISMS

اسلاید ۳۳: د)تعریف چگونگی سنجش اثربخشی کنترل ها وارائه نتایج قابل قیاس وتجدید پذیر بعد از تعیین برآورداثربخشی کنترل هایادآوری :اندازه گیری اثربخشی کنترل ها ،به مدیران وکارکنان اجازه می دهد تا تعیین کند که کنترل ها،تاچه اندازه اهداف کنترلی طرح ریزی شده را حاصل می نمایند.ه)پیاده سازی برنامه های آموزشی وآگاه سازی و)مدیریت عملیات سیستم مدیریت امنیت اطلاعاتز)مدیریت منابع برای سیستم مدیریت امنیت اطلاعات ح)پیاده سازی روش های اجرایی ودیگرکنترل هایی که قادر به توانمند ساختن آشکارسازی سریع وقایع امنیتی وپاسخ دهی به حوادث امنیتی باشد .۳۳۴-۲ ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید ۳۴: ۴-۲-۳-پایش وبازنگری سیستم مدیریت امنیت اطلاعات سازمان باید موارد زیر را انجام دهد:الف )اجرای روش های اجرایی پایش و دیگر کنترل ها به منظور:۱)تشخیص سریع خطاها در نتایج پردازش ها ۲)شناسایی سریع نقص هاوحوادث امنیتی موفق ونا تمام ۳)قادر ساختن مدیریت به اطمینان اجرای فعالیتها آنگونه که انتظارمی رود۴)کمک درتشخیص وقایع امنیتی واز آن طریق ،پیشگیری از حوادث امنیتی بوسیله استفاده از نشانگرها ۵)تعیین اثربخشی اقدامات صورت گرفته برای رفع نقایص امنیتی ۳۴۴-۲ ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید ۳۵: ب) تعهدبازنگری قاعده منداثربخشی سیستم مدیریت امنیت اطلاعات با توجه به نتایج ممیزیهای امنیتی ، نتایج انداره گیریهای اثر بخشی ، حوادث ، پیشنهادها و بازخوردهای تمامی طرفهای ذینفع ج ) سنجش اثربخشی کنترلها بمنظورتصدیق اینکه الزامات امنیتی براورده شده اندد) بازنگری براوردهای مخاطرات در فواصل زمانی طرح ریزی شده و بازنگری مخاطرات باقیمانده و شناسایی سطح قابل قبول مخاطرات با توجه به تغییرات در :۱)سازمان فناوری (۲۳۵۴-۲ ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید ۳۶: ۴-۲-۴-نگهداری وبهبود سیستم مدیریت امنیت اطلاعاتسازمان بایستی به صورت منظم موارد ذیل راانجام دهد:الف)پیاده سازی بهبودهای شناسایی شده درسیستم مدیریت امنیت اطلاعاتب)انجام اقدامات اصلاحی وپیشگیرانه مناسب ج) انتقال اطلاعات مربوط به اقدامات وبهبودها،به تمامی طرفهای ذینفع وتوافق در مورد چگونگی ادامه کارد)اطمینان از اینکه بهبودها،اهداف موردنظرشان را حاصل می کنند. ۳۶۴-۲ ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید ۳۷: ۳)اهداف و فرایندهای کسب و کار ۴)تهدیدهای شناسایی شده ۵)اثربخشی کنترل های پیاده سازی شده۶)رویدادهای برونی همانند تغییرات در فضای قانونی یا آیین نامه ای و شرایط اجتماعی وتغییر در تعهدات قراردادی ه)انجام ممیزی های داخلی سیستم مدیریت امنیت اطلاعات درفواصل زمانی طرح ریزی شده و)تعهد به بازنگری مدیریت قاعده مند سیستم مدیریت امنیت اطلاعاتز)بروزرسانی طرحهای امنیتی باتوجه به نتایج پایش وبازنگریح)ثبت اقدامات ووقایع اثربخش وکارا بر سیستم مدیریت امنیت ۳۷۴-۲ ایجاد ومدیریت سیستم امنیت اطلاعات Estabilishng and mananging the ISMS

اسلاید ۳۸: ۴-۳- الزامات مستند سازی۴-۳-Doucumentation requirements

اسلاید ۳۹: ۴-۲ الزامات مستند سازی ۴-۳-Doucumentation requirements 394-3-1-کلیات :مستندسازی باید شامل سوابق تصمیمات مدیریتی بوده،اطمینان دهد که اقدامات قابل ردیابی می باشدمهم است که بتوان ارتباط بین کنترل های انتخاب شده ونتایج حاصل ازبرآورد مخاطرات وفرایند برطرف سازی مخاطرات ومتعاقبا ارتباط با اهداف وخط مشی سیستم مدیریت امنیت