دانلود کتاب آموزشی اجرایی ISO/IEC 27001 (ISO 27001 Implementation) جلد سوم

بخش ۱۱: مستندسازی الزامات ISO 27001

فصل ۱۱.۱: اصول و مبانی مستندسازی در ISO 27001

• نقش مستندسازی در سیستم مدیریت امنیت اطلاعات

• تفاوت مستندات الزامی و غیرالزامی

• ساختار کلی مستندات در یک ISMS

• معیارهای کیفیت یک مستند مناسب (دقت، ردیابی‌پذیری، نسخه‌گذاری)

فصل ۱۱.۲: مستندات الزامی مطابق استاندارد ISO/IEC 27001

• سیاست امنیت اطلاعات

• دامنه ISMS

• روش‌شناسی ارزیابی ریسک

• گزارش ارزیابی ریسک

• برنامه درمان ریسک

• اهداف کنترل‌ها

• خط‌مشی‌ها و رویه‌های عملیاتی کلیدی

• فهرست دارایی‌ها و مالکیت دارایی

• مستندات مرتبط با شایستگی و آموزش

فصل ۱۱.۳: الزام‌های مربوط به کنترل‌های Annex A

• نحوه مستندسازی کنترل‌های Annex A

• ماتریس تطبیق کنترل‌ها

• مستندسازی کنترل‌های سازمانی، پرسنلی، فیزیکی و تکنیکی

• تعیین نقش‌ها، مسئولیت‌ها و نیازمندی‌های هر کنترل

فصل ۱۱.۴: مستندسازی فرآیند مدیریت ریسک

• تعریف روش‌شناسی ارزیابی

• مستندسازی معیارهای ریسک و سطح تحمل مخاطرات

• فرآیند شناسایی، تحلیل و ارزیابی ریسک

• ثبت یافته‌های ریسک در قالب Risk Register

• ساختار گزارش نهایی ریسک‌ها

فصل ۱۱.۵: مستندسازی سیاست‌ها (Policies)

• اصول ایجاد سیاست‌های امنیتی موثر

• سیاست مدیریت دسترسی

• سیاست رمزنگاری

• سیاست مدیریت لاگ‌ها

• سیاست‌های امنیت فیزیکی

• ساختار یک سند سیاست رسمی (Purpose، Scope، Roles، Rules، Exceptions)

فصل ۱۱.۶: مستندسازی رویه‌ها (Procedures)

• تفاوت رویه با دستورالعمل و فرآیند

• مستندسازی رویه مدیریت وقایع امنیتی

• مستندسازی رویه تهیه نسخه پشتیبان

• مستندسازی مدیریت تغییرات

• رویه مقابله با حوادث و بازیابی پس از فاجعه

فصل ۱۱.۷: مستندسازی سوابق (Records)

• اهمیت سوابق برای اثبات انطباق

• ثبت وقایع، لاگ‌ها، گزارش‌های حادثه

• مستندسازی سوابق آموزشی و آگاهی‌بخشی

• سوابق ممیزی داخلی و بازبینی مدیریت

• نحوه ذخیره، نگه‌داری و محافظت از سوابق

فصل ۱۱.۸: مستندسازی ساختار ISMS

• نمودار سازمانی و نقش‌های کلیدی

• مسئولیت‌های مرتبط با امنیت اطلاعات

• نحوه مستندسازی تعامل بین واحدهای مختلف

• تعریف مرزهای ISMS و وابستگی‌های داخلی و خارجی

فصل ۱۱.۹: نسخه‌سازی و مدیریت چرخه عمر مستندات

• اصول مدیریت چرخه عمر سند

• روش نسخه‌گذاری، بازنگری و تایید مستندات

• ثبت تاریخچه تغییرات (Change Log)

• کنترل توزیع و دسترسی به مستندات

فصل ۱۱.۱۰: مستندسازی یافته‌ها، عدم انطباق‌ها و اقدامات اصلاحی

• روش ثبت عدم انطباق‌ها

• نحوه تحلیل ریشه‌ای مشکلات (Root Cause Analysis)

• مستندسازی اقدامات اصلاحی و پیشگیرانه

• فرم‌ها و قالب‌های ثبت اقدامات

فصل ۱۱.۱۱: مستندسازی برای ممیزی داخلی و خارجی

• چک‌لیست‌های رسمی ممیزی

• مستندات مورد نیاز برای ممیز خارجی

• مستندسازی شواهد انطباق با کنترل‌ها

• سازمان‌دهی مستندات برای اثربخشی ممیزی

فصل ۱۱.۱۲: مستندسازی برنامه آگاهی‌بخشی امنیتی

• ثبت برنامه‌های آموزشی

• مستندسازی نتایج ارزیابی آگاهی کارکنان

• نحوه نگه‌داری سوابق آموزش امنیتی

فصل ۱۱.۱۳: قالب‌ها، استانداردها و بهترین شیوه‌ها در مستندسازی

• نمونه ساختارهای استاندارد برای سیاست‌ها و رویه‌ها

• استفاده از قالب‌های رسمی ISO

• هماهنگی قالب مستندات در سراسر سازمان

• اصول خوانایی، وضوح و یکپارچگی مستندات

فصل ۱۱.۱۴: خطاهای رایج در مستندسازی ISO 27001 و روش جلوگیری

• مستندات بیش از حد و غیرضروری

• مستندات ناکامل

• عدم کنترل نسخه

• ناهماهنگی بین سیاست‌ها و رویه‌ها

• توصیه‌های کلیدی برای پیشگیری

بخش ۱۲: پیاده‌سازی کنترل‌های امنیتی کلیدی

فصل ۱۲.۱: اصول طراحی کنترل‌های امنیتی

• تعریف کنترل امنیتی و نقش آن در چرخه امنیت

• طبقه‌بندی کنترل‌ها (فیزیکی، منطقی، مدیریتی)

• رابطه کنترل‌ها با مدل‌های امنیتی سازمان

• معیارهای انتخاب کنترل مناسب

فصل ۱۲.۲: کنترل‌های احراز هویت و مدیریت دسترسی

• اصول احراز هویت چندعاملی و نقش آن

• پیاده‌سازی کنترل‌های مبتنی بر نقش (RBAC)

• مدیریت دسترسی حداقلی (Principle of Least Privilege)

• سیاست‌های قوی رمزهای عبور و مدیریت چرخه عمر آن

فصل ۱۲.۳: کنترل‌های محافظت از داده

• طبقه‌بندی داده و سیاست‌های نگهداری

• رمزنگاری داده در حالت ذخیره و زمان انتقال

• محافظت از داده‌های حساس و محرمانه

• اجرای Data Masking و Data Loss Prevention

فصل ۱۲.۴: کنترل‌های امنیت شبکه

• طراحی ناحیه‌بندی امنیتی شبکه (Segmentation)

• کنترل ترافیک ورودی و خروجی

• نقش فایروال‌ها، IDS، IPS در دفاع شبکه

• امنیت شبکه بی‌سیم و دسترسی‌های مجاز

فصل ۱۲.۵: مدیریت آسیب‌پذیری و کنترل‌های اصلاحی

• فرآیند شناسایی و ارزیابی آسیب‌پذیری‌ها

• تحلیل ریسک و اولویت‌بندی اصلاح

• Patch Management در محیط‌های سازمانی

• کنترل‌های پیشگیرانه برای کاهش سطح حمله

فصل ۱۲.۶: کنترل‌های امنیتی در سیستم‌عامل‌ها

• استانداردسازی پیکربندی سیستم‌ها

• سخت‌سازی سیستم‌های ویندوز و لینوکس

• کنترل‌ها برای مدیریت سرویس‌ها و فرآیندها

• امنیت حساب‌های محلی و سرویس‌ها

فصل ۱۲.۷: کنترل‌های امنیتی در اپلیکیشن‌ها

• اصول Secure Coding در توسعه

• آزمایش امنیت اپلیکیشن‌ها و تست نفوذ

• کنترل‌های جلوگیری از Injection و XSS

• کنترل‌های امنیتی سمت سرور و سمت کاربر

فصل ۱۲.۸: کنترل‌های امنیتی در سرویس‌های ابری

• مدل Shared Responsibility در ابر

• مدیریت دسترسی و IAM در محیط‌های Cloud

• کنترل‌های امنیت ذخیره‌سازی ابری

• مدیریت امنیت APIها و سرویس‌های ابری

فصل ۱۲.۹: کنترل‌های نظارت و پایش امنیت

• نقش SIEM در جمع‌آوری وقایع

• پیاده‌سازی Log Monitoring و Event Analysis

• تعریف قوانین تشخیص رفتار مشکوک

• پایش مستمر وضعیت امنیتی محیط IT

فصل ۱۲.۱۰: کنترل‌های واکنش و پاسخ به حادثه

• ایجاد برنامه واکنش به حادثه

• کنترل‌های تشخیص و محدودسازی حمله

• مدیریت ریکاوری و بازگردانی سرویس‌ها

• مستندسازی و گزارش‌گیری پس از حادثه

فصل ۱۲.۱۱: کنترل‌های امنیت انسانی و مدیریتی

• آموزش آگاهی امنیتی کاربران

• سیاست‌های رفتاری و انضباطی

• مدیریت دسترسی کارمندان، پیمانکاران و طرف‌های ثالث

• بررسی سوابق امنیتی و کنترل‌های استخدامی

فصل ۱۲.۱۲: کنترل‌های امنیت فیزیکی

• مدیریت دسترسی فیزیکی به تجهیزات

• حفاظت از مراکز داده

• نظارت محیطی و کنترل شرایط فیزیکی

• مدیریت تجهیزات همراه و دستگاه‌های قابل‌حمل

فصل ۱۲.۱۳: کنترل‌های امنیتی فرایندها و عملیات

• کنترل‌های تغییرات در سیستم‌ها (Change Management)

• کنترل‌های امنیتی در DevOps و CICD

• کنترل‌های مدیریت نسخه‌ها و پیگیری تغییرات

• امنیت فرآیندهای روزانه سیستم‌های عملیاتی

فصل ۱۲.۱۴: پیاده‌سازی چارچوب‌های استاندارد کنترل امنیتی

• پیاده‌سازی کنترل‌ها بر اساس NIST CSF

• انطباق با ISO/IEC 27001

• کنترل‌های CIS Critical Controls

• ارزیابی گپ امنیتی و بلوغ سازمان

بخش ۱۳: آمادگی برای ممیزی خارجی (Certification Audit)

فصل ۱۳.۱: معرفی ممیزی خارجی و اهداف آن

• مفهوم ممیزی شخص ثالث

• تفاوت ممیزی داخلی و ممیزی خارجی

• انواع ممیزی: Stage 1 و Stage 2

• اهداف گواهی‌نامه و ارزش سازمانی آن

فصل ۱۳.۲: شناخت فرآیند ممیزی توسط شرکت گواهی‌دهنده

• ساختار و مراحل ممیزی

• نحوه انتخاب شرکت گواهی‌دهنده معتبر

• ارتباط بین سازمان و تیم ممیزی

• الزامات عمومی قبل از ممیزی

فصل ۱۳.۳: بررسی شکاف‌ها و تحلیل آمادگی نهایی (Final Gap Analysis)

• انجام تحلیل شکاف بر اساس استاندارد

• شناسایی نقاط ضعف باقی‌مانده

• بررسی مستندات، فرآیندها و شواهد اجرایی

• تهیه لیست اقدامات اصلاحی قبل از ممیزی

فصل ۱۳.۴: تهیه و سازمان‌دهی مستندات برای ممیزی

• مرتب‌سازی کامل مستندات اصلی (Policies، Procedures، Records)

• آماده‌سازی گزارش‌ها، فرم‌ها و گزارش‌های عملکرد

• تهیه شواهد اجرایی قابل ارائه به ممیز

• نحوه استفاده از نرم‌افزارهای مدیریت مستندات

فصل ۱۳.۵: آماده‌سازی تیم‌ها و واحدهای سازمان

• آموزش کارکنان درباره نحوه پاسخ‌گویی به ممیز

• تعیین نقش‌ها و مسئولیت‌ها در روز ممیزی

• اجرای تمرین شبیه‌سازی ممیزی (Mock Audit)

• هماهنگی بین واحدهای IT، منابع انسانی، عملیات و مدیریت

فصل ۱۳.۶: آماده‌سازی زیرساخت‌ها و محیط ممیزی

• آمادگی محل فیزیکی یا محیط آنلاین برای ممیزی

• دسترسی‌های لازم برای ممیز (سیستم‌ها، گزارش‌ها، محل‌ها)

• رفع مشکلات زیرساختی قبل از روز ممیزی

• اطمینان از فراهم بودن ابزارهای ارائه شواهد

فصل ۱۳.۷: نحوه مدیریت جلسه افتتاحیه (Opening Meeting)

• نحوه معرفی تیم سازمان

• توضیح دامنه ممیزی

• ارائه تصویر کلی از سیستم مدیریت

• هماهنگی برنامه زمان‌بندی ممیزی

فصل ۱۳.۸: مدیریت فرآیند ممیزی در زمان اجرا

• نحوه همراهی ممیز در بازدیدها و بررسی فرآیندها

• ارائه شواهد به شکل صحیح و حرفه‌ای

• پاسخ‌گویی مناسب: باید‌ها و نبایدها

• نحوه برخورد با سؤالات چالش‌برانگیز ممیز

• جلوگیری از ارائه اطلاعات غیرضروری

فصل ۱۳.۹: مدیریت عدم انطباق‌ها (Nonconformities)

• انواع عدم انطباق: عمده، جزئی، Observation

• نحوه پاسخ‌گویی به عدم انطباق در لحظه

• جمع‌آوری اطلاعات تکمیلی برای دفاع فنی

• نحوه کنترل و مستندسازی موارد مطرح‌شده

فصل ۱۳.۱۰: مدیریت جلسه اختتامیه (Closing Meeting)

• دریافت گزارش اولیه ممیز

• نحوه تحلیل عدم انطباق‌ها

• برنامه برای ارائه اقدامات اصلاحی

• هماهنگی برای ارسال مدارک به شرکت گواهی‌دهنده

فصل ۱۳.۱۱: اقدامات پس از ممیزی (Post Audit Actions)

• اجرای ریشه‌یابی و اقدامات اصلاحی (Corrective Actions)

• تهیه گزارش‌های تکمیلی

• رفع عدم انطباق‌ها در بازه زمانی مقرر

• ارسال مدارک نهایی برای تأیید

فصل ۱۳.۱۲: دریافت گواهی و نگهداری آن

• فرآیند صدور گواهی

• بررسی اعتبار و تاریخ انقضا

• نگهداری سالانه گواهی از طریق ممیزی‌‌های Surveillance

• آماده‌سازی برای ممیزی‌های سالانه

فصل ۱۳.۱۳: ایجاد سیستم پایدار برای ممیزی‌های بعدی

• ایجاد چرخه بهبود مستمر

• به‌روزرسانی مستندات

• مانیتورینگ عملکرد فرآیندها

• آمادگی دائمی برای ممیزی‌های آینده

بخش ۱۴: یکپارچه‌سازی ISMS با استانداردهای دیگر

فصل ۱۴.۱: ضرورت و مزایای یکپارچه‌سازی استانداردها

• دلایل سازمانی برای یکپارچه‌سازی

• کاهش هزینه‌ها و منابع مورد نیاز

• جلوگیری از دوباره‌کاری در فرآیندها

• تسهیل ممیزی و پایش مداوم

• ایجاد یک چارچوب مدیریتی یکپارچه و پایدار

فصل ۱۴.۲: اصول هم‌ترازی بین استانداردهای مدیریتی

• نقاط اشتراک میان سیستم‌های مدیریت

• مفاهیم مشترک در ریسک، کنترل و مستندسازی

• نقش مدیریت ارشد در یکپارچگی استانداردها

• مدل PDCA و کاربرد آن در استانداردهای مدیریتی

فصل ۱۴.۳: یکپارچه‌سازی ISMS با ISO 9001 (مدیریت کیفیت)

• هم‌پوشانی فرآیندهای کنترل کیفیت و امنیت اطلاعات

• ارتباط مدیریت ریسک کیفیت با ریسک امنیت

• هم‌سویی مدیریت مستندات و کنترل تغییرات

• مشتری‌مداری و محرمانگی اطلاعات

فصل ۱۴.۴: یکپارچه‌سازی ISMS با ISO 45001 (ایمنی و سلامت شغلی)

• نقاط مشترک در مدیریت ریسک و مدیریت حادثه

• یکپارچه‌سازی فرآیندها در سازمان‌های صنعتی

• ارتباط مدیریت بحران با امنیت اطلاعات

• نقش فرهنگ سازمانی در موفقیت هر دو سیستم

فصل ۱۴.۵: یکپارچه‌سازی ISMS با ISO 22301 (تداوم کسب‌وکار – BCM)

• وابستگی امنیت اطلاعات به تداوم کسب‌وکار

• نقاط مشترک در تحلیل ریسک و تحلیل اثرات کسب‌وکار

• نقش ریکاوری اطلاعات در مدیریت تداوم

• ساختاردهی مشترک برای طرح‌های پاسخ‌گویی

فصل ۱۴.۶: یکپارچه‌سازی ISMS با ISO 20000 (مدیریت خدمات IT)

• ارتباط مدیریت سرویس‌ها با امنیت اطلاعات

• یکپارچه‌سازی فرآیندهای Incident، Change و Problem

• هم‌ترازی SLAها و نیازهای امنیتی

• مدیریت دارایی‌های IT و الزامات امنیتی

فصل ۱۴.۷: یکپارچه‌سازی ISMS با GDPR یا قوانین مشابه حفاظت داده

• هم‌پوشانی میان حفاظت از داده و کنترل‌های امنیتی

• مفهوم Privacy by Design و Privacy by Default

• نقش ISMS در کاهش ریسک‌های نقض داده

• یکپارچه‌سازی فرآیند ثبت و گزارش Incidents

فصل ۱۴.۸: یکپارچه‌سازی ISMS با NIST Cybersecurity Framework

• تفاوت رویکرد NIST و ISO در امنیت اطلاعات

• نگاشت کنترل‌ها میان دو چارچوب

• یکپارچگی در بخش‌های شناسایی، محافظت، تشخیص، پاسخ و بازیابی

• مزایای استفاده همزمان از NIST و ISO

فصل ۱۴.۹: یکپارچه‌سازی با استاندارد COBIT برای حاکمیت فناوری اطلاعات

• هم‌پوشانی فرایندهای IT Governance

• نقش مدیریت دارایی و کنترل‌های امنیت اطلاعات

• کارکرد مشترک در ساختار تصمیم‌گیری و مسؤولیت‌ها

• استفاده ترکیبی برای بلوغ سازمانی بالاتر

فصل ۱۴.۱۰: یکپارچه‌سازی ISMS با ITIL

• ارتباط فرآیندهای ITIL مانند Incident، Change و Config با امنیت

• مدیریت دسترسی، مدیریت دارایی و مدیریت رخداد

• نقش یکپارچگی در افزایش کارایی سرویس‌ها

• ساختار CMDB و کاربرد آن در ISMS

فصل ۱۴.۱۱: یکپارچه‌سازی با استاندارد ISO 31000 (مدیریت ریسک)

• ایجاد چارچوب واحد مدیریت ریسک

• هم‌ترازی شیوه‌های شناسایی، تحلیل و ارزیابی ریسک

• مزایای ایجاد زبان مشترک ریسک در سازمان

• استفاده متقابل از ماتریس ریسک و شاخص‌های کلیدی

فصل ۱۴.۱۲: هم‌افزایی استانداردها در سازمان‌های بزرگ

• ساخت سیستم مدیریت یکپارچه (IMS)

• الگوهای معماری یکپارچه برای چند استاندارد

• هماهنگی نقش‌ها و مسئولیت‌ها

• هم‌سویی فرآیندها و گزارش‌گیری‌ها

فصل ۱۴.۱۳: چالش‌های یکپارچه‌سازی استانداردها

• ناسازگاری تعاریف و الزامات

• مقاومت سازمانی و محدودیت منابع

• تداخل نقش‌ها و مسئولیت‌ها

• ریسک افزایش پیچیدگی فرآیندها

فصل ۱۴.۱۴: راهکارهای موفقیت در یکپارچه‌سازی استانداردها

• ایجاد چارچوب یکپارچه مدیریت

• تعیین ساختار حاکمیت و فرهنگ امنیتی

• استفاده از ابزارهای مدیریت فرآیند

• تعریف KPI مشترک میان استانداردها