0

بلاگ

خدمات شبکه فراز نتورک > دانلود رایگان > مدیریت و امنیت اطلاعات > سيستم مديريت امنيت اطلاعات یا ISMS چـيست؟

سيستم مديريت امنيت اطلاعات یا ISMS چـيست؟

2020/10/20
ارسال شده توسط
مدیریت و امنیت اطلاعات
1.63k بازدید
ISMS چـيست؟

سيستم مديريت امنيت اطلاعات یا ISMS

در حال حاضر گسترش و توسعه روزافزون فناوري اطلاعات و ارتباطات و ظهور اينترنت و … باعث پيشرفت روزافزون بشر شده به طوريکه عصر حاضر را به نام عصر اطلاعات مي نمايند .

حرکت سريع کشورها به سوي جامعه اطلاعاتي موجب رشد وسيع سيستم ها و سرويس هاي اطلاعاتي شده است .

اطلاعات گنجينه اي ارزشمند است که در حال حاضر به جاي نگهداري در کمدها و اطاق ها در داخل شبکه هاي محلي درون يا برون سازماني نگهداري مي شود.

از امور مرتبط با شبکه‌هاي داخلي سازمانها تا شبکه‌هاي بين سازماني، تجارت الکترونيک، انتقال اطلاعات درون سازمان يا بين سازمانها، همگي نيازمند شاخه هايي از امنيت اطلاعات مي باشند.

ويروسها، نفوذگرها، خرابکاران اينترنتي، سرقت اطلاعات، فروش اطلاعات سازماني به رقبا، از بين رفتن اطلاعات، دستيابي‌هاي غير مجاز به اطلاعات و بسياري ديگر همگي جزيي کوچک از تهديدات امنيت اطلاعات در اکثر سازمانها و شرکتهاي مرتبط با اطلاعات مي باشد.

دريافت گواهينامه استاندارد ISO 27001 از يک گروه معتبر مي‌تواند نمايانگر قابليت اجرا و مديريت کنترلهايي در سازمان باشد که تضمين کننده حفظ سه عنصر محرمانگي، صحت و در دسترس‌ بودن اطلاعات مي‌باشد.

در واقع استاندارد ISO 27001   تامين کننده يک سري از ابزارهاي سازگار با يکديگر براي سنجش مديريت امنيت اطلاعات در هر سازمان بدون توجه به نوع کار يا حجم سازمان مي باشد.اين گواهينامه مي‌تواند براي يک سازمان، بخش و يا حتي يک سايت دريافت گردد. و سپس متناوباً در سازمان گسترش يافته و بخش‌هاي ديگر را هم در‌برگيرد.

موسسات ISO و IEC از موسسات بين‌المللی تدوين استاندارد در سطح جهانی می‌باشند که کميته مشترکی را به نام JTC1 برای تدوين استانداردها تشکيل داده‌اند .

استاندارد بين‌المللی ISO/IEC 17799 برای اولين بار توسط موسسه استاندارد انگلستان ارائه شد و سپس توسط JTC1 پذيرفته شد .

امنيت اطلاعات چيست؟

اطلاعات ( مانند ساير دارائی‌های سازمانی ) به عنوان يک دارائی مهم و باارزش برای هر سازمان به حساب می‌آيد و در نتيجه نيازمند ارائه راهکارهای حفاظتی لازم برای نگهداری آنها ، می‌باشند .

سه اصل مهم در امنيت اطلاعات عبارتند از :

  • محرمانگی : اطمينان از اينکه اطلاعات فقط در دسترس افراد مجاز قرار دارد
  • صحت : تامين کردن صحت ، دقت و کامل بودن اطلاعات و روش‌های پردازش آنها
  • دردسترس بودن : اطمينان از اينکه کاربران مجاز در صورت نياز به اطلاعات و دارائی‌های مربوطه به آنها دسترسی دارند .

امنيت اطلاعات به وسيله اجرای يکسری از کنترل‌های مناسب ، حاصل خواهد شد. اين کنترل‌ها ميتوانند به صورت خط‌مشی‌ها ، رويه‌ها ، ساختارهای سازمانی و يا نرم‌افزارهای کاربردی باشند . اين کنترل‌ها برای اطمينان از برآورده شدن اهداف امنيتی سازمان بايستی اجرا گردند .

ايجاد نيازمنديهای امنيت اطلاعات

لازم است تا يک سازمان‌ کليه نيازمندی‌های امنيتی خود را مشخص نمايد . سه منبع اصلی برای مشخص کردن اين نيازمندي‌ها وجود دارد که عبارتند از :

  • مستندات برگرفته از ارزيابی ريسک سازمانی . در طول ارزيابی ريسک بايستی تهديدات مرتبط با دارائيها مشخص شده ، آسيب‌پذيري‌ها و احتمالات مربوط به رخدادها ارزيابی شده و پيامدهای بالقوه و بالفعل مربوطه برآورد گردد .
  • نيازمنديهای قانونی ، قراردادی و انظباطی سازمانی
  • مجموعه خاصی از اصول ، اهداف و نيازمندی‌های مربوط به پردازش اطلاعات که يک سازمان برای پشتيبانی از عملکردهای خود از آنها استفاده می‌نمايد .

ISMS چـيست؟

  • سيستم مديريت امنيت اطلاعات
  • سيستم مديريت امنيت اطلاعات بر اساس استاندارد ISO 27001  در كنار ديگر سيستمهاي مديريت به خصوص استاندارد 9001ISO و تحت نظارت و مديريت مستقيم مديريت ارشد شركت مستقر مي‌گردد.
  • تامين كننده امنيت اطلاعات در هر سازمان.
  • اين سيستم براي پياده سازي از استانداردها و متدولوژي هاي گوناگوني مانند BS 7799 و ISO/IEC 17799 و ISO 15408 بهره مي گيرد.

ISO 27001 چيست ؟

  • مشخصه اي براي مديريت امنيت اطلاعات
  • دستورالعمل مديريت امنيت اطلاعات
  • پايه اي براي ارتباط قراردادي
  • پايه گواهينامه شخص ثالث
  • قابليت كاربرد براي تمامي بخشهاي صنعت
  • تاكيد بر پيش گيري

سری استانداردهای 27001

  • ISO 27001 : The ISO 27001 standard was published in October 2005, essentially replacing the old BS7799-2 standard

ISO 27002 : The ISO 27002 standard is the rename of the existing ISO 17799 standard, and is a code of practice for information security. It basically outlines hundreds of potential controls and control mechanisms, which may be implemented, in theory, subject to the guidance provided within ISO 27001.

ISO 27003 : The purpose of this proposed development is to provide help and guidance in implementing an ISMS (Information Security Management System). This will include focus upon the PDCA method, with respect to establishing, implementing reviewing and improving the ISMS itself.
ISO 27004 : ISO 27004 is the official number of the emerging standard covering information security management measurement and metrics . It is intended to help an organization establish the effectiveness of its ISMS implementation, embracing benchmarking and performance targeting within the PDCA cycle .

ISO 27005 : ISO 27005 will be the name of an emerging standard covering information security risk management. As with some of the other standards in the ISO 27000 series, no firm dates have been established for its release. However, it will define the ISMS risk management process, including identification of assets, threats and vulnerabilities .

ISO 27006 : This is the standard which offers guidelines for the accreditation of organizations which offer certification and registration with respect to an ISMS

ساختار امنيت اطلاعات

امنيت اطلاعات

  • امنيت  IT
  • امنيت مديريت

امنيت  IT

  • امنيت ارتباطات
  • امنيت مركز داده  ها

سياست های امنيتی

امنيت سخت افزار ، وسائل جانبي و ديگر تجهيزات

زير بخش شماره يک: خريد و نصب سخت افزار

  • مشخص کردن نيازمنديهاي امنيت شبکه و اطلاعات براي سخت افزارهاي جديد
  • مشخص کردن نيازمنديهاي کاربردي تفصيلي براي ( تهيه )سخت افزار جديد
  • نصب سخت افزار جديد
  • تست سيستمها و تجهيزات

زير بخش شماره دو: کابل کشي، UPS ، پرينترها و مودم‌ها

  • تهيه برق دائم و پيوسته براي تجهيزات حياتي و حساس
  • مديريت و نگهداري مولد برق جانشين
  • استفاده از ماشينهاي فاکس/ Fax modems
  • استفاده از مودم‌ها/ اتصالات DSL و ISDN
  • استفاده از پرينترهاي منفرد، تحت شبکه و يا مرکزي
  • نصب و نگهداري کابل هاي شبکه

زير بخش شماره سه: مواد مصرف شدني در حوزه فناوري اطلاعات

  • کنترل مواد مصرف شدني در حوزه فناوري اطلاعات
  • استفاده از رسانه‌هاي ذخيره سازي قابل پاک شدن(مانند ديسکت‌ها و CD ها

زير بخش شماره چهار: کار بصورت work of يا برون‌سپاري فرآيندها و فعاليت‌هاي کاري

  • مقاطعه کاري يا برون سپاري فعاليت‌ها
  • اختصاص Laptop / کامپيوترهاي قابل حمل به پرسنل
  • Tele_Working
  • انتقال سخت افزارها از مکاني به مکان ديگر
  • استفاده از تلفن‌هاي موبايل
  • استفاده از تسهيلات مرکزي سازمان

زير بخش شماره پنج: استفاده از محل‌هاي ذخيره‌سازي امن

  • استفاده از مکانهاي ذخيره سازي قفل‌دار

زير بخش شماره شش: مستند سازي سخت افزار

  • مديريت و استفاده از مستندات سخت افزاري
  • نگهداري ليست اموال تجهيزات سخت افزاري

زير بخش شماره هفت: ساير موارد امنيتي مربوط به سخت افزارها

  • کنترل تجهيزات منسوخ و از رده خارج شده
  • ثبت و گزارش خطاهاي سخت افزاري
  • بيمه تجهيزات سخت افزاري
  • خط ‌مشي ميز/ صفحه پاک
  • Log off / log on
  • نگهداري سخت افزارها به دو صورت onsite و offsite
  • آسيب رساندن به تجهيزات

بخش دوم: کنترل دسترسي به اطلاعات و سيستم‌ها

  • مديريت استانداردهاي کنترل دسترسي
  • مديريت دسترسي کاربر
  • امنيت ايستگاههاي کاري بدون مراقبت
  • مديريت کنترل‌هاي دسترسي به شبکه
  • کنترل دسترسي به نرم‌افزارهاي سيستم عامل
  • مديريت پسوردها
  • امنيت در مقابل دسترسي‌هاي فيزيکي غير مجاز
  • محدود کردن دسترسي‌ها
  • بازبيني دسترسي‌هاي سيستمي و استفاده از آنها
  • اختصاص دسترسي به مستندات و فايل‌ها
  • مديريت دسترسي سيستم‌هايي با ريسک بالا
  • کنترل دسترسي کاربر از راه دور

بخش سوم: اطلاعات و مستندات پردازش

زير بخش شماره يک: شبکه‌ها

  • پيکر بندي شبکه‌ها
  • مديريت شبکه
  • دسترسي به شبکه از راه دور
  • دفاع از اطلاعات شبکه در مقابل حملات بدخواهانه

زير بخش شماره دو: مديريت و عملکرد سيستم

  • انتصاب مديران سيستم‌ها
  • مديريت سيستم‌ها
  • کنترل توزيع داده‌ها
  • اجازه دسترسي به اشخاص ثالث
  • مديريت کليدهاي الکترونيکي
  • مديريت عملکرد سيستم و اداره کردن آن
  • مديريت مستند سازي سيستم
  • نظارت بر ثبت خطا‌ها
  • زمانبندي عمليات سيستم‌ها
  • تغييرات زمانبندي براي عملياتهاي سيستمي متداول
  • نظارت بر ثبت مميزي عمليات
  • همزماني ساعتهاي سيستم
  • پاسخ به خطاهاي سيستمي

زير بخش شماره سه: E-mail & World wide web

  • دانلود فايلها و اطلاعات از طريق اينترنت
  • استفاده و دريافت امضاهاي ديجيتال
  • ارسال ايميل
  • دريافت ايميل
  • نگه‌داشتن و يا پاک کردن ايميل
  • برقراري دسترسي به اينترانت
  • برقراري دسترسي به اکسترانت
  • برقراري دسترسي به اينترنت
  • توسعه يک وب‌سايت
  • دريافت اطلاعات گمراه‌کننده از طريق ايميل
  • ارسال ايميل
  • استفاده از اينترنت براي اهداف کاري
  • ارائه اطلاعات هنگام سفارش کاالا از طريق اينترنت
  • موضوعات مربوط به Web browse
  • استفاده از موتور جستجوي اينترنتي
  • نگهداري وب‌سايت
  • فيلتر کردن مطالب نامناسب از اينترنت
  • اطمينان از اصلي بودن فايل(منشا فايل

زير بخش شماره چهار: تلفن‌ها و فاکس

  • ايجاد تماس‌هاي کنفرانسي
  • استفاده از ويدئو کنفرانس
  • ثبت مکالمات تلفني
  • دريافت اطلاعات نادرست و گمراه‌کننده از طريق فاکس
  • ارائه اطلاعات هنگام سفارش کالا از طريق تلفن
  • ارائه راهنماهاي لازم توسط افراد از طريق تلفن
  • دريافت فاکسهاي ناخواسته

زير بخش شماره پنج: مديريت داده‌ها

  • انتقال و مبادله داده‌ها
  • مديريت ذخيره سازي داده‌ها
  • مديريت پايگاه داده
  • اجازه اصلاح ضروري و فوق‌العاده داده‌ها
  • دريافت اطلاعات بر روي ديسک‌ها
  • نصب يک دايرکتوري يا فولدر جديد
  • اصلاح ساختار دايرکتوري
  • بايگاني مستندات
  • خط‌مشي نگهداري اطلاعات
  • ايجاد صفحه گسترده‌هاي جديد
  • ايجاد پايگاه داده جديد
  • برقراري ارتباط اطلاعاتي مابين مستندات و فايل‌ها
  • بروز کردن گزارشات پيش‌نويس
  • حذف گزارشات پيش‌نويس
  • استفاده از سيستم‌هاي کنترل نسخه
  • به اشتراک گذاشتن بر روي سيستم‌هاي مديريت پروژه
  • بروز کردن اطلاعات مشتريان
  • استفاده از اسامي معني‌دار براي فايل‌ها
  • استفاده از Header و Footer
  • استفاده از فايل‌هاي موقت و حذف آنها

زير بخش شماره شش: پشتيبان‌گيري، بازيابي و بايگاني اطلاعات

  • شروع مجدد و يا بازيابي سيستم
  • پشتيبان‌گيري از داده‌ها بر روي کامپيوترهاي قابل حمل
  • مديريت رويه‌ها پشتيبان‌گيري و بازيابي اطلاعات
  • بايگاني اطلاعات
  • بايگاني فايل‌هاي الکترونيکي
  • بازيابي و اصلاح فايل‌هاي داده‌اي

زير بخش شماره هفت: اداره کرده مستندات

  • مديريت خروجي‌هاي چاپي کاغذي
  • رونوشت (فتوکپي) از اطلاعات محرمانه
  • بايگاني مستندات و اطلاعات
  • امضا و تائيد ثانوي مستندات
  • بررسي صحت مستندات
  • تصويب مستندات
  • بازبيني امضا‌ها
  • دريافت ايميل‌هاي ناخواسته
  • روش و نحوه ارائه گزارشات
  • نحوه جابجائي مستندات حساس
  • از بين بردن(خرد‌کردن) اطلاعات کاغذي که مورد نياز نيستند
  • استفاده از رويه‌هاي مناسب براي مديريت مستندات

زير بخش شماره هشت: امنيت داده‌ها

  • استفاده از تکنيک‌هاي رمز‌نگاري
  • به اشتراک گذاشتن اطلاعات
  • ارسال اطلاعات براي اشخاص ثالث
  • نگهداري محرمانه اطلاعات مشتري
  • ريسک آتش‌سوزي براي اطلاعات سازماني
  • ارسال گزارشات
  • اداره کردن اطلاعات مالي حساس
  • پاک کردن داده‌هايي که تحت مالکيت ديگران بوده و بوسيله آنها ايجاد شده‌اند
  • محافظت از مستندات بوسيله پسورد
  • چاپ مستندات طبقه‌بندي شده

زير بخش شماره نه: ساير موارد مربوط به اداره‌کردن و پردازش اطلاعات

  • استفاده از کنترل‌هاي ورودي دوگانه
  • استفاده از نگهدارنده‌هاي صفحه شخصي
  • صحبت کردن با رسانه‌ها
  • صحبت کردن با مشتريان
  • نياز به کنترل‌هاي دوگانه و يا تفکيک وظائف
  • استفاده از خط‌مشي ميز پاک
  • ارتباط با اشخاص ثالث و يا پيمانکاران از طريق آدرس اشتباه
  • بازبيني صحت و درستي اطلاعات
  • ماموريت‌هاي کارير

بخش چهارم: خريد و نگهداري نرم‌افزارهاي تجاري

زير بخش شماره يک: خريد و نصب نرم‌افزار

  • مشخص کردن نيازمنديهاي کاربري براي خريد نرم‌افزار
  • انتخاب بسته‌هاي نرم‌افزاري تجاري
  • استفاده از نرم‌افزارهاي داراي مجوز
  • اجراي نرم‌افزار جديد و يا بروز شده

زير بخش شماره دو: نگهداري و بروز کردن نرم‌افزار

  • بکارگيري Patch ها براي نرم‌افزار
  • بروز کردن نرم‌افزار
  • واکنش در مقابل توصيه فروشندگان براي بروز کردن نرم‌افزار
  • پشتيباني از نرم‌افزار‌هاي کاربردي
  • بروز کردن نرم‌افزارهاي سيستم‌عامل
  • پشتيباني از سيستم عامل
  • ثبت و گزارش خطا‌هاي نرم‌افزاري

زير بخش شماره سه: ساير موارد نرم‌افزاري

  • از رده خارج کردن نرم‌افزارها
  • کنترل محيط تست نرم افزار
  • استفاده از داده‌هاي واقعي براي تست نرم‌افزار
  • تست نرم‌افزار قبل از انتقال به محيط هدف
  • آموزش سيستم‌هاي جديد
  • مستند سازي سيستم‌هاي جديد و يا ارتقا يافته
  • اکتساب نرم افزارهاي از قبل توسعه توسط فروشنده آن

بخش پنجم: طراحي طرح استمرار کسب و کار سازماني

  • شروع پروژه BCP
  • ارزيابي ريسک امنيتي BCP
  • توسعه BCP
  • تست طرح استمرار کسب و کار
  • نگهداري و بروز کردن BCP

 

 

اشتراک گذاری:
برچسب ها:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!

مطالب زیر را حتما مطالعه کنید

دیدگاهتان را بنویسید