مباحث مدیریت امنیت اطلاعات ISO 27001

تعریف سیستم یا System و استاندارد
سیستم به معنی مجموعه ای از اجزاء است که برای رسیدن به هدف خاصی در کنار هم جمع شده اند. در واقع سیستم مدیریت امنیت اطلاعات نیز از مجموعه ای از اجزاء تشکیل شده است که برای رسیدن به هدف خاصی که در اینجا برقراری و مدیریت امنیت اطلاعات سازمان یا شرکت شما می باشد در کنار هم جمع شده اند. سیستم مدیریت امنیت یک ساختار استاندارد و تعریف شده است و این بدین معنا می باشد که ما به خودی خود نمی توانیم تعیین کنیم چگونه اطلاعات بایستی امن شوند و یک معیار و پایه و اساس برای اینکار بایستی تعریف شود. تعریف کردن این معیارها بر عهده یک سازمان بین المللی است که استانداردها در آن تهیه و تنظیم می شوند و این سازمان جایی نیست به غیر از سازمان ISO یا International Standardization Organization ، این سازمان وظیفه تدوین استاندارد های یکپارچه در دنیا را بر عهده دارد ، تا به حال هر استانداردی که شنیده اید در این سازمان تعریف و تدوین شده است ، قطعا با ISO 9000 یا استاندارد کیفیت کالا آشنایی دارید ، همین نوع استاندارد برای مدیریت سیستم امنیت اطلاعات با کد ISO 27000 تعریف شده است که در ادامه با آن آشنا خواهید شد.

ساختار یک استاندارد به چه شکل است ؟

همه استانداردها ساختاری شبیه به هم دارند اما از نظر محتوایی متفاوت هستند. در همه استانداردهای بین المللی ISO یک سری کنترل وجود دارد که بیانگر معیارهایی است که برای پیاده سازی استانداردها مورد نیاز است ، برای مثال یکی از کنترل های سیستم مدیریت امنیت اطلاعات این است که بایستی بر روی امنیت فیزیکی درب های ورود و خروج ساختمان کنترل انجام شود. بنابراین کنترل ها معیار را برای ما تشریح می کنند اما چگونگی انجام شدن آن را تعریف نمی کنند و این یک اصل است. هر استانداردی برای خود دارای یک سری کنترل است که در قالب سرفصل هایی ارائه می شوند. همیشه در تمامی سازمان ها لازم نیست تمامی این معیارها رعایت شود تا بتوانید سیستم مدیریتی خود را پیاده سازی کنید ، شما بر حسب سرویس و نیازی که دارید از بین این کنترل ها ، آنهایی که در محیط شما قابل استفاده هستند را انتخاب و شروع به پیاده سازی می کنید. اما بعد از اینکه شما از بین کنترل های موجود ، آنهایی که مورد نیازتان هستند را انتخاب کردید ، بایستی آنها را بصورت مدون و مرتب تشریح کنید و بر حسب نیاز خودتان آن را بهینه سازی و تدوین کنید . بعد از اینکه تمامی این مراحل انجام شد یک مستند متنی به وجود می آید که به آن خط مشی یا Policy گفته می شود و شما ساختار استاندارد سازمان را بر اساس آن تعریف می کنید. خط مشی امنیت اطلاعات که به بیانیه امنیت اطلاعات نیز معروف است در واقع الگوی اصلی است که شما در حوزه امنیت اطلاعات برای سازمان خود تدوین می کنید تا بر اساس آن امنیت اطلاعات خود را مدیریت کنید. توجه کنید که در این مستند چگونگی برقراری امنیت تشریح نشده است ، چگونگی انجام و پیاده سازی امنیت در مستندی جداگانه به نام دستورالعمل امنیت اطلاعات تشریح می شود.

فواید استفاده از سیستم مدیریت امنیت اطلاعات ( ISMS ) چیست ؟

طبیعی است که شما زمانیکه به یک کشور خارجی سفر می کنید یکی از مهمترین معیارها برقرار بودن امنیت در آن کشور است ، همین موضوع باعث ترقیب شدن توریست ها برای سفر کردن و سرمایه گذاری در آن کشور می شود . در خصوص سازمان ها هم به همین شکل است ، اگر سازمانی بتواند سیستم مدیریت امنیت اطلاعات را به درستی پیاده سازی و مدیریت کند تجارتی دائمی و همراه با ریسک کمتر خواهد داشت ، تصور کنید شخصی قصد سرمایه گذاری در یک شرکت را دارد ، اگر این شرکت که در کار تولید مواد اولیه رنگ پلاستیک است فرمول ساخت رنگ را به درستی امن نگاه ندارد و رقیبان تجاری آن فرمول را بدست بیاورند این شرکت دچار تهدید و در نهایت ممکن است بازار کار خود را از دست بدهد ، بنابراین سیستم مدیریت امنیت اطلاعات ( ISMS) بصورت کلی باعث اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها می شود.پیاده سازی سیستم مدیریت امنیت اطلاعات علاوه بر موارد بالا می تواند باعث اطمینان از سازگاری با استانداردهای امنیت اطلاعات و محافظت از داده ها ، قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات ، ایجاد اطمینان نزد مشتریان و شرکای تجاری ،امکان رقابت بهتر با سایر شرکت ها و ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات شود.

سیستم مدیریت امنیت اطلاعات یا ISMS شامل چه مستنداتی است ؟

همانطور که اشاره کردیم ، سیستم مدیریت امنیت اطلاعات به خودی خود یک مستند متنی است که بایستی بر اساس آن سازمان ها ساختار خود را پیاده سازی کنند. در ادامه گفتیم که از بین کنترل های موجود بایستی کنترل های متناسب با سازمان خود را انتخاب کنیم و مستند متنی به عنوان خط مشی امنیت تدوین کنیم. در نهایت پیاده سازی سیستم مدیریت امنیت اطلاعات منجر به تولید چندین مستند متنی می شود که به نوع می توان گفت ISMS دارای کاغذ بازی زیادی است. اما این مستندات چه هستند و چند نوع از این مستندات بایستی در یک ساختار مدیریت امنیتی درست وجود داشته باشد ؟ بر اساس استانداردهای مدیریت امنیت اطلاعات و ارتباطات ، هر دستگاه یا سازمان باید مجموعه مستندات مدیریت امنیت اطلاعات و ارتباطات را به شرح زیر، برای خود تدوین نماید:

• مستند اهداف، راهبردها و سیاستهای امنیتی فضای تبادل اطلاعات دستگاه ( Security Policy )
• مستند طرح تحلیل مخاطرات امنیتی فضای تبادل اطلاعات دستگاه ( Risk Assessment )
• مستند طرح امنیت فضای تبادل اطلاعات دستگاه
• مستند طرح مقابله با حوادث امنیتی و ترمیم خرابیهای فضای تبادل اطلاعات دستگاه ( Disaster Recovery)
• مستند برنامه آگاهی رسانی امنیتی به پرسنل دستگاه ( Awareness )
• مستند برنامه آموزش امنیتی پرسنل تشکیلات تامین امنیت فضای تبادل اطلاعات دستگاه

 

مراحل پیاده سازی و دریافت استاندارد ISO 27001 یا ISMS چیست ؟

 

1. سازمان قصد به دریافت استاندار ISO 27001 می گیرد . ( نیت می کنیم )
2. این قصد را با یک شرکت مشاور در زمینه پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS در میان می گذارد.
3. شرکت مشاور در جلسه هیات مدیره خط مشی امنیتی را مشخص می کند .
4. بر اساس کنترل های امنیتی کلیه نیاز های امنیتی مربوط به سازمان مطابق با استاندارد ISO 27001 پیاده سازی می شود .
5. قبل از اینکه سر ممیز اصلی ( Lead Auditor) از نماینده بین المللی ارائه مدارک ISO یا اصطلاحا CB در محل حضور پیدا کند خود شرکت مشاور از یک گروه با عنوان ممیز داخلی ، بازرسی های لازم را انجام می دهند .
6. از یک سر ممیز بین المللی که به عنوان نماینده یک مرکز صدور گواهی مانند TUV یا DNV هستند دعوت می شود برای انجام بازرسی های لازم.
7. در صورت تایید صلاحیت و کسب حداقل امتیازات لازم ، گواهینامه صادر می شود.

 

مشکلات معمول در پیاده سازی سیستم مدیریت امنیت اطلاعات ( ISMS )

• بایستی توجه کرد که امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیاده سازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه می گردد. وقتی امنیت فرهنگ باشد عمری لازم است تا یک فرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمی توان فرهنگ سازی سازمانی بومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازمان دیگر وارد نمود. این یکی از اصلی ترین موانع در پیاده سازی استانداردهای مدیریت امنیت است.

 

• امنیت تداوم می خواهد. حتی اگر موفق شویم در یک سازمان سیستم مدیریت امنیت را پیاده سازی نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذ نمائیم؛ عدم تداوم آن هیچ آورده ای را از نظر امنیتی برای سازمان نخواهد داشت. بنابراین همیشه در استانداردهای بین المللی از چرخه ای به نام چرخه دمینگ یا PDCA که یک چرخه مدور و دائمی است برای طراحی ، انجام ، آزمایش و اعمال مجدد طراحی استفاده می شود.

 
 

• ناامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امن سازی و تفکرامنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشته باشد. مدیران سازمانی ما احساس نا امنی مداوم از فضای تبادل اطلاعات خود ندارند و یا مایملک اطلاعاتی ذی قیمتی را در معرض تهاجم نمی بینند. بر این اساس،حمایت جدی و همه جانبه از پیاده سازی و تداوم استانداردهای مدیریت امنیت ندارند.

 

• امنیت نا محسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت)انجام می شود بعضاً مدیریت و کارشناسان احساس می کنند که هیچ اتفاق جدیدی نیفتادهاست و ممکن است گلایه کنند که چرا هزینه نموده اند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمی شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان ودر هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.ITPro باشید.

در Wikipedia استاندارد مورد نظر را به شرح ذیل معرفی می نماید و پس از آن به شرح کل موضوع خواهیم پرداخت.
 
مجموعه ۲۷۰۰۰ ISO/IEC که تحت عنوان “خانواده استاندارد “ISMS یا به اختصار “ISO27k” شناخته شده‌است، شامل استانداردهای امنیت اطلاعات به طور مشترک توسط سازمان بین‌المللی استانداردسازی (ISO) و کمیسیون علوم الکترونیکی بین‌المللی (IEC) منتشر شده‌است.
این مجموعه بهترین توصیه‌ها را بر پایه تجربیات عملی در مدیریت امنیت اطلاعات، ریسک و کنترل را در کلیه ابعاد سیستم مدیریت امنیت اطلاعات(ISMS) بیان می‌کند. به علاوه توصیه‌های مشابهی نیز در طراحی سیستم‌های مدیریت تضمین کیفیت (سری (ISO9000 و حفاظت از محیط زیست سری ISO14000.
این سری به طور عمدی در حوزه کاری گسترده است؛ بدین دلیل که زمینه‌های دیگری غیر از حریم خصوصی، محرمانه بودن و مسائل امنیتی فنی و/یا IT را پوشش دهد. این استاندارد قابلیت اعمال به تمام سازمان با اندازه‌ها و اشکال مختلف را داراست. بسیاری از سازمان‌ها بر آن هستند که به ارزیابی خطرات امنیتی اطلاعات خود بپردازند، و سپس به پیاده سازی کنترل مناسب جهت تامین امنیت اطلاعات با توجه به نیاز خود می‌پردازند، که با استفاده از راهنمایی‌ها و پیشنهادها در زمینه‌های مربوطه انجام می‌پذیرد. با توجه به ماهیت پویای امنیت اطلاعات، ISMS روش‌های بازخورد و بهبود مستمر را (که به طور خلاصه رویکرد “طرح، اجرا، بررسی، اعمال” دمینگ خوانده می‌شود) به کار می‌برد، که تغییرات در تهدید، آسیب پذیری و یا اثرات حوادث امنیت اطلاعات را هدف می‌گیرد.
این استانداردهای محصولISO/IEC JTC1 کمیته فنی الحاقی ۱، SC27 زیر کمیته ۲۷ و یک نهاد بین‌المللی است که دو بار در سال نشست خواهند داشت می‌شود. در حال حاضر، یازده استاندارد از این مجموعه منتشر شده و قابل دسترس است. این در حالی است که تعداد بیشتری نیز در حال توسعه و آماده سازی است. استانداردهای اصلی ISO/IEC به طور مستقیم توسط ISO به فروش می‌رسد. در عین حال این مجموعه توسط نهادهای مختلف ارائه دهنده استانداردها (حتی با زبان‌های غیر انگلیسی) قابل دستیابی است.
استانداردهای منتشر شده

• ایزو ۲۷۰۰۰ سیستم‌های مدیریت امنیت اطلاعات – مرور و لغتنامه
• ایزو ۲۷۰۰۱ سیستم‌های مدیریت امنیت اطلاعات – نیازمندی‌ها
• ایزو ۲۷۰۰۲ راهنمای عملی مدیریت امنیت اطلاعات
• ایزو ۲۷۰۰۳ راهنمای پیاده سازی سیستم‌های مدیریت امنیت اطلاعات
• ایزو ۲۷۰۰۴ سیستم‌های مدیریت امنیت اطلاعات – اندازه گیری
• ایزو ۲۷۰۰۵ مدیریت خطر امنیت اطلاعات
• ایزو ۲۷۰۰۶ نیازمندی‌های اشخاص بازرس و صادرکنندگان گواهی سیستم‌های مدیریت امنیت اطلاعات
• ایزو ۲۷۰۱۱ خط مشی‌های مدیریت امنیت اطلاعات برای سازمان‌های مخابراتی بر اساس ایزو ۲۷۰۰۲
• ایزو ۲۷۰۳۱ خط مشی آماده سازی تکنولوژی اطلاعات و مخابرات برای ادامه کسب و کار
• ایزو ۲۷۰۳۱-۱ مقدمه و مفاهیم امنیت شبکه
• ایزو ۲۷۰۳۵ مدیریت حوادث امنیتی
• ایزو ۲۷۷۹۹ مدیریت امنیت اطلاعات در سلامت با استفاده از ایزو ۲۷۰۰۲

استانداردهای در حال آماده سازی

• ISO/IEC 27007 راهنمای بازرسی سیستم‌های مدیریت امنیت اطلاعات (با تاکید بر سیستم‌های مدیریت)
• ISO/IEC 27008 راهنمای کنترل‌های ISMS برای بازرسان (با تاکید بر کنترل‌های امنیت اطلاعات)
• ISO/IEC 27013 راهنمای پیاده سازی ترکیبی ایزو ۲۰۰۰۰-۱ و ایزو ۲۷۰۰۱
• ISO/IEC 27014 چهارچوب اعمال امنیت اطلاعات
• ISO/IEC 27015 راهنمای مدیریت امنیت اطلاعات برای بخش‌های بیمه‌ای و مالی
• ISO/IEC 27032 راهنمای امنیت سایبری
• ISO/IEC 27033 امنیت شبکه IT، سک استاندارد چند بخشی بر پایه ایزو ۱۸۰۲۸:۲۰۰۶ قسمت اول این استاندارد منتظر شده‌است
• ISO/IEC 27034 راهنمای امنیت کاربردی
• ISO/IEC 27036 راهنمای امنیت روش‌های برون سپاری
• ISO/IEC 27037 راهنمای تشخیص، جمع آوری و/یا کسب و نمایش مدارک دیجیتال

 

• ایزو ۲۷۰۰۱ به انگلیسی: ISO/IEC 27001‏ قسمی از استانداردهای خانواده ISO/IEC 27000 استاندارد سیستم مدیریت امنیت اطلاعات (ISMS) است که در سال ۲۰۰۵ توسط سازمان بین المللی استانداردها (ISO) و کمیسیون برق بین المللی است. نام کامل این استاندارد بدین صورت است:

 

• ISO/IEC 27001:2005 – تکنولوژی اطلاعات – تکنیک‌های امنیت – سیستم‌های مدیریت امنیت اطلاعات – نیازمندی ها.
• ISO/IEC 27001 به طور رسمی یک سیستم مدیریت را تعیین می‌کند که هدف آن تامین امنیت اطلاعات است که در تحت شرایط کنترل مدیریت خاص امکان پذیر است. تعیین رسمی بدین معناست که این استاندارد یک سری از برآوردن نیازمندی‌ها را الزام می‌کند و سرپیچی از این قوانین جرم محسوب می‌شود.

 
طریقه عملکرد استاندارد
بسیاری از سازمان‌ها یک سری کنترل‌های امنیت اطلاعات برای خود تعیین می‌کنند. با این حال، بدون سیستم مدیریت امنیت اطلاعات (ISMS)، کنترل حدودی بی سامانی و عدم یکپارچگی می‌انجامد. این سیستم را می‌توان به صورت راه حل‌های نقطه‌ای (برای شرایط خاص) و یا به طور سرتاسری مثل قانون کنوانسیون پیاده سازی کرد. به طور معمول کنترل‌های امنیتی در عمل جنبه‌های خاصی از امنیت IT و/یا داده‌ها را هدف قرار می‌دهد؛ و اطلاعات و جنبه‌های غیر IT مانند کارهای اداری و اطلاعات خصوصی شرکت) کمتر محافظت می‌شوند. علاوه بر این، برنامه ریزی کسب و کار و حفاظت فیزیکی کاملاً به طور مستقل از IT و/یا امنیت اطلاعات اداره می‌شود، در حالی که معمولاً در سازمان، مرجعی که نیاز به تعریف و اختصاص دادن امنیت اطلاعات در نقش‌ها و مسئولیت‌های منابع انسانی داشته باشد وجود ندارد.
ISO/IEC 27001 مستلزم مدیریت موارد زیر است:

• بررسی سیستماتیک خطرات امنیتی اطلاعات سازمان، با در نظر گرفتن تهدیدها، آسیب پذیری‌ها، و اثرات و عواقب؛
• طراحی و پیاده سازی یک مجموعه منسجم و جامع از کنترل امنیت اطلاعات و/یا دیگر اشکال مقابله با خطر مانند پیشگیری ازخطرات یا انتقال ریسک؛ بیمه برای هدف قرار دادن آن دسته از خطراتی که اجتناب ناپذیر تلقی می‌شوند؛
• انطباق یک پروسه مدیریت فراگیر به سازمان از تداوم کنترلهای امنیتی اطمینان حاصل شود. تا گسترش و پیشروی سازمان به جلو، همیشه نیازهای امنیتی اطلاعات سازمان رفع شود.

در حالی که ممکن است به غیر از (یا به جای) ISO/IEC 27002 (کد از تمرین برای مدیریت امنیت اطلاعات) مجموعه دیگری از کنترل‌های امنیت اطلاعات به طور بالقوه تحت لوای ISO/IEC 27001 ISMS به کار گرفته شوند، ولی معمولاً این دو استاندارد در کنار هم استفاده می‌شود. ضمیمه A در ISO/IEC 27001 فهرستی خلاصه از کنترل‌های امنیتی اطلاعات موجود در ISO/IEC 27002را بیان می‌کند. این در حالی است که ISO/IEC 27002 اطلاعات بیشتر و راهنمایی‌های پیاده سازی را فراهم می‌کند.
سازمان‌هایی که مجموعه‌ای از کنترل‌های امنیت اطلاعات را مطابق با ISO/IEC 27002 پیاده سازی کرده‌اند، به احتمال زیاد، همزمان تمایل به اجرای بسیاری از الزامات ISO/IEC 27001 را دارند. اما ممکن است برخی از المان‌های سیستم مدیریت فراگیر را اجرا نکرده باشند. برعکس این قضیه نیز درست است، به عبارت دیگر، یک گواهی تضمین مطابق با ISO/IEC 27001 اطمینان می‌دهد که پیاده سازی سیستم مدیریت در زمینه امنیت اطلاعات تضمین شده‌است. ولی در مورد وضعیت مطلق امنیت اطلاعات در درون سازمان اطلاعات کمی را در اختیار ما قرار می‌دهد. کنترل‌های امنتی تکنیکی، مثل ضدویروس‌ها و دیوارهای آتش، به طور عادی در ISO/IEC 27001 مورد بحث نیستند: در این استاندارد پیشفرض آن است که سازمان همه کنترل‌های امنیتی لازم برای ISMS را به طور کلی در در حال اجرا دارد و تنها برآورده کردن الزامات ISO/IEC 27001 باقی مانده‌است. به علاوه، این سیستم مدیریت، حوزه‌هایی از ISMS را که جهت صدور گواهینامه (که ممکن است آن را به یک واحد کسب و کار نیز محدود کند) لازم هستند را مشخص می‌کند. گواهی ISO/IEC 27001 لزوما به معنای آن نیست که قسمت‌هایی از سازمان که در خارج از حوزه گواهینامه هستند، نیز رویکرد کافی برای مدیریت امنیت اطلاعات را دارا هستند.
استانداردهای دیگر خانواده ISO/IEC 27000 به ارائه راهنمایی‌های اضافی در جنبه‌های خاصی از طراحی، پیاده سازی و اجرای ISMS (برای مثال خطر در مدیریت امنیت اطلاعات ISO/IEC 27005) می‌پردازند
مبدا استاندارد ISO/IEC 27001
BS 7799 استانداردی میباشد که در سال ۱۹۹۵ برای اولین بار توسط BSI Group (گروه استانداردهای انگلستان) ایجاد شد. این استاندارد توسط دپارتمان صنعت و تجارت (DTI) دولت بریتانیا نوشته شد و شامل چندین بخش است. اولین بخش شامل بهترین تجربیات مدیریت امنیت اطلاعات است و در سال ۱۹۹۸ بازبینی شد. پس از مباحثات بسیار بین صاحبان استاندارد در جهان، این استاندارد در سال ۲۰۰۰ توسط بنیاد ISOتحت عنوان ISO/IEC 17799 انطباق لازم را پیدا کرد. این استاندارد نام ”تکنولوژی اطلاعات – کد تجربی مدیریت امنیت اطلاعات“ را با خود حمل می‌کرد. استاندارد ISO/IEC 17799 در جوئن ۲۰۰۵ بازبینی شد و در نهایت در سا ل۲۰۰۷ تحت عنوان ISO/IEC 27002 در سری استانداردهای ISO 27000 جای گرفت. قسمت دوم BS7799 برای اولین بار در سال ۱۹۹۹ توسط BSIو با کد ” BS7799 – قسمت ۲“تحت عنوان ”سیستم‌های مدیریت امنیت اطلاعات – مشخصات، به همراه راهنمای کاربرد“ منتظر شد. BS 7799-2 بر چگونگی پیاده ساری یک سیستم مدیریت امنیت اطلاعات (ISMS) تمرکز دارد. این استاندارد بعداً به استاندارد ISO/IEC 27001 تبدیل شد. نسخه ۲۰۰۲ استاندارد BS 7799-2 به معرفی چرخه ”برنامه ریزی، اجرا، بررسی، پیاده سازی“ (PDCA) پرداخت که بر محور استانداردهای کیفیت مثل ISO 9000 بنا نهاده شده بود. در نوامبر ۲۰۰۵ این استاندارد توسط بنیاد ISO با ISO/IEC 27001 منطبق شد. ISO/IEC 27001 قسمت ۳ نیز در سال ۲۰۰۵ منتشر شد که مدیریو تحلیل خطر را پوشش می‌داد. این استاندارد نیز بعداً با ISO/IEC 27001 منطبق شد.
گواهینامه
تعدادی از ثبت کننده‌های معتبر جهانی می‌توانند برای یک ISMS گواهی انطباق با استاندارد ISO/IEC 27001 را صادر کنند. دریافت هر نوع از نسخه‌های ملی شده (در کشورهای مختلف) استاندارد۲۷۰۰۱ (مثل نسخه ژاپنی آن؛ یعنی JIS Q 27001) توسط ثبت کننده‌های معتبر جهانی، با دریافت استاندارد ISO/IEC 27001 معادل است. در برخی کشورها، آن دسته از شخصیت‌های حقوقی که انطباق سیستم مدیریت با با استانداردهای خاص ارزیابی می‌کنند، ”گواهی دهنده“ اتلاق می‌شود، در حالی که در برخی دیگر از کشورها ”ثبت کننده“ یا عناوین دیگر اتلاق می‌شود. گواهی ISO/IEC 27001 مثل دیگر گواهی‌های سیستم مدیریت ISO معمولاً شامل وارسی خارجی سه مرحلهای است:

• مرحله ۱: مرور مقدماتی و تهیه گزارش ISMS است. مثلاً بررسی وجود و کامل بودن اسناد و مدارک کلیدی، مثل سیاست امنیتی اطلاعات سازمان، منشور کاربردیات (SoA) و برنامه رفع خطر (RTP). هدف این مرحله شناساندن افراد با سازمان و برعکس است.
• مرحله ۲: یک ممیزی انطباق دقیق تر و رسمی تر است که به طور مستقل ISMS را بر اساس الزامات مشخص شده در ISO/IEC 27001 بررسی می‌کند. حسابرسان به دنبال شواهدی برای تایید طراحی و پیاده سازی و بهره برداری صحیح سیستم مدیریت هستند (مثلاً تایید این که ”کمیته امنیت“و یا یک شخصیت حقوقی مشابه، به طور منظم برای نظارت بر ISMS سیستم را بازبینی می‌کند). گذراندن این مرحله نشان دهنده سازگاری ISMS با گواهی با ISO/IEC 27001 است.
• مرحله ۳: شامل بازرسی یا ممیزی‌های متعاقب به منظور تائید ادامه سازگاری و انطباق سازمان با استاندارد است. نگهداری گواهینامه نیازمند ممیزی‌های دوره‌ای برای تائید ادامه فعالیت ISMS بر اساس مشخصه‌ها و اشارات استاندارد است. این عمل باید حداقل سالی ۱ مرتبه انجام انجام شود، ولی (با تفاوق طرفین) می‌تواند به دفعات بیشتر نیز انجام شود؛ خصوصاً در زمانی که ISMS هنوز در پیاده سازی استاندارد به تکامل نرسیده‌است.

 
مطالب فوق برگرفته شده از سایت Wikipedia بود.
 
 
 
 
در حال حاضر به شرح قدم به قدم آن می پردازیم
مقدمه:

• اطلاعات ( مانند سایر دارائی‌های سازمانی ) به عنوان یک دارائی مهم و باارزش برای هر سازمان به حساب می‌آید و در نتیجه نیازمند ارائه راهکارهای حفاظتی لازم برای نگهداری آنها ، می‌باشند .
• استاندارد ISO 27001 تامین کننده یک سری از ابزارهای سازگار با یکدیگر برای سنجش مدیریت امنیت اطلاعات در هر سازمان با هر نوع کار یا حجم سازمان می باشد. این گواهینامه می‌تواند برای یک سازمان یا بخشی از آن دریافت و سپس در سازمان گسترش و بخش‌های دیگر را دربرگیرد.
• موسسات ISO و IEC از موسسات بین‌المللی تدوین استاندارد در سطح جهانی می‌باشند که کمیته مشترکی را به نام JTC1 برای تدوین استانداردها تشکیل داده‌اند .
• استاندارد بین‌المللی ISO/IEC 17799 برای اولین بار توسط موسسه استاندارد انگلستان ارائه شد و سپس توسط JTC1 پذیرفته شد .

 

• سه اصل مهم در امنیت اطلاعات عبارتند از :
  • محرمانگی : اطمینان از اینکه اطلاعات فقط در دسترس افراد مجاز قرار دارد
  • صحت : تامین صحت ، دقت و کامل بودن اطلاعات و روش‌های پردازش آنها
  • دسترس پذیری : اطمینان از اینکه کاربران مجاز در صورت نیاز به اطلاعات و دارائی‌های مربوطه به آنها دسترسی دارند .
• امنیت اطلاعات به وسیله اجرای یکسری از کنترل‌های مناسب ، حاصل خواهد شد. این کنترل‌ها میتوانند به صورت خط‌مشی‌ها ، رویه‌ها ، ساختارهای سازمانی و یا نرم‌افزارهای کاربردی باشند . این کنترل‌ها برای اطمینان از برآورده شدن اهداف امنیتی سازمان بایستی اجرا گردند .

 

• بر اساس استاندارد ISO 27001 در کنار دیگر سیستمهای مدیریت به خصوص استاندارد ۹۰۰۱ISO و تحت نظارت و مدیریت مستقیم مدیریت ارشد سازمان مستقر می‌گردد.
• تامین کننده امنیت اطلاعات سازمان
• مبتنی بر رویکرد فرآیندی است
• این سیستم برای پیاده سازی از استانداردها و متدولوژی های گوناگونی مانند

BS 7799 و ISO/IEC 17799 و ISO 15408(معیار های عمومی برای فنآوری اطلاعات ) بهره می گیرد
 
قسمتی از سیستم مدیریت کلی، برپایه روش ریسک کاری ، جهت تاسیس، پیاده سازی، عملکرد، نظارت، مرور ، نگهداری ، و بهبود امنیت اطلاعات است.
استاندارد ISO/IES 27001:2005 مدلی برای برپائی ISMS موثر فراهم
می کند.
* منظور از مدیریت کلی ، رعایت سایر استانداردها می باشد.
ISMS

• مشخصه ای برای مدیریت امنیت اطلاعات
• دستورالعمل مدیریت امنیت اطلاعات
• پایه ای برای ارتباط قراردادی
• پایه گواهینامه شخص ثالث
• قابلیت کاربرد برای تمامی بخشهای صنعت
• تاکید بر پیش گیری

 
سری استانداردهای ISO/IEC 2700k

• ISO/IEC 27001:2005, Information security management systems — Requirements

سیستم های مدیریت امنیت اطلاعات – نیازمندی ها

• ISO/IEC 27002:2005, Code of practice for information security management

آئین نامه کاری مدیریت امنیت اطلاعات

• ISO/IEC 27003, Information security management system implementation guidance

راهنمای پیاده سازی سیستم مدیریت امنیت اطلاعات

• ISO/IEC 27004, Information security management — Measurement

مدیریت امنیت اطلاعات – سنجش

• ISO/IEC 27005:2008, Information security risk management

مدیریت مخاطرات امنیت اطلاعات

• ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems

راهنمای ممیزی سیستم های مدیریت امنیت اطلاعات
 
مزایای پیاده سازی استاندارد ISO/IEC 27001   

• نزدیک شدن به وضعیت سیستماتیک و روش مند
• افزایش تضمین اعتبار قانونی سازمان
• افزایش جنبه های تداوم کسب وکار
• شناسائی دارایی های بحرانی از طریق ارزیابی ریسک
• ایجاد یک ساختار برای بهبود مستمر
• افزایش شناخت و اهمیت مسائل مربوط به امنیت درسطح مدیریت
• بومی سازی فرهنگ و دانش امنیت اطلاعات در سازمان

 
ارزیابی اولیه از میزان امنیت شبکه و اطلاعات جاری سازمان ( Gap Analyses)
ارزیابی اولیه در حوزه های مختلف، با ارائه پرسشنامه

• حوزه های مرتبط با مدیریت
• حوزه های مرتبط با آموزش و آگاه سازی
• حوزه های مرتبط با وابستگی سازمان به کارمندان
• حوزه های مرتبط با دسترسی و حقوق دسترسی
• حوزه های مرتبط با رویه های سازمانی
• حوزه های مرتبط با بازرسی
• حوزه های مرتبط با خط مشی های امنیتی
• حوزه های مرتبط با مستندات
• حوزه های مرتبط با سخت افزار و نرم افزار
• حوزه های مرتبط با شبکه

حوزه های مرتبط با کاربران
 
تعیین محدوده استقرار سیستم مدیریت امنیت اطلاعات( SCOPE )
 
دامنه ومرزهای سیستم مدیریت امنیت اطلاعات بر مبنای ویژگی کسب وکار , سازمان، مکان ، دارائی ها وفن آوری آن تعریف می شود و همچنین جزئیات و توجیه برای کنارگذاری هر چیزی از دامنه را شامل می باشد
 
تعیین دارائی های (سرمایه های) سازمانی

• مستندات کاغذی
• دارائی های اطلاعاتی
• دارائی های فیزیکی
• سخت افزار ها
• نرم افزارها
• اطلاعات و ارتباطات
• منابع انسانی
• خدمات

 
تعیین سیاست های امنیتی

• سیاست‌های امنیتی سرویس‌های فضای تبادل اطلاعات سازمان
• سیاست‌های امنیتی سخت‌افزارهای فضای تبادل اطلاعات سازمان
• سیاست‌های امنیتی نرم‌افزارهای فضای تبادل اطلاعات سازمان
• سیاست‌های امنیتی ارتباطات و اطلاعات فضای تبادل اطلاعات سازمان
• سیاست‌های امنیتی کاربران فضای تبادل اطلاعات سازمان

 
چگونگی تشخیص الزامات امنیتی

• ریسک های امنیتی
• الزامات قراردادی وقانونی
• اصول واهداف والزامات داخلی

 
طرح تحلیل مخاطرات امنیتی

• تجزیه و تحلیل شبکه و تعیین مخاطرات امنیتی
  • معماری شبکه ارتباطی
  • تجهیزات شبکه ارتباطی
  • مدیریت و نگهداری شبکه ارتباطی
  • سرویس های شبکه ارتباطی
  • تشکیلات و روش های تامین امنیت شبکه ارتباطی
• تعیین آسیب پذیریها
  • شناسائی منابع آسیب پذیری
  • تست امنیتی سیستم
• تعیین ریسک دارائی ها و فرایندها
• تعیین آستانه پذیرش ریسک
• ارائه راه حلهای کلی برای کاهش آسیب پذیری ها ، تهدیدات و ریسک ها

 
ارائه طرح جامع امنیت شبکه و اطلاعات
ارائه راه حلهای مناسب

• معماری شبکه
• پروتکلهای شبکه
• Server farm
• Switching
• ارتباطات
• امنیت فنی شبکه
• طرح تهیه نسخ پشتیبان
• امنیت فیزیکی شبکه
• سیستمهای کنترل جریان اطلاعات و تکیل نواحی امنیتی
• ارائه ساختار معماری IP مناسب برای شبکه
• تهیه خط مشی های مناسب برای شبکه با توجه به نحوه دسترسی به منابع سازمانی
• ساختار DMZ
• سرویس Accounting
• سرویس DNS
• سرویس FTP
• Filtering
• Monitoring
• Web Cache
• نرم‌افزارهای تشخیص و مقابله با ویروس
• سیستم‌های تشخیص هویت، تعیین حدود اختیارات و ثبت عملکرد کاربران
• سیستم‌های ثبت و تحلیل رویدادنامه‌ها
• سیستم‌های رمزنگاری اطلاعات
• نرم‌افزارهای نظارت بر ترافیک شبکه
• نرم‌افزارهای پویشگر امنیتی
• نرم‌افزارهای مدیریت امنیت شبکه
• …………….

• ارائه نمونه های مناسب دستورالعمل پیکربندی امن و چک لیست
  • طراحی ساختار کلی شبکه
  • طراحی ساختار سایت مرکزی
  • طراحی ساختار فیزیکی شبکه
  • تعیین تجهیزات غیرفعال مورد نیاز شامل کابلها ، رکها ، داکتها ، پچ پنل ها ، کیستون ها و …
  • ساختار آدرس دهی
  • ساختار مسیر یابی
  • ساختار دسترسی به شبکه
  • تجهیزات شبکه
  • سرویس دهنده های شبکه
  • مدیریت و نگهداری شبکه
  • تشریح تغییراتی که همزامان با افزودن سیستم امنیتی در معماری ، تجهیزات ، سرویس دهنده ها و مدیریت شبکه انجام می گیرد
  • تعیین پروتکل­های مورد نیاز شبکه
  • طراحی معماری IP شبکه و تقسیم­بندی آن
  • طراحی ساختار کلی Server Farm

 

• تعیین سرویس های مورد نیاز جهت نصب روی سرورها
• تعیین سیستم عامل های مورد نیاز
• تعیین سرورهای مورد نیاز
• طراحی ساختار سوئیچنگ شبکه
• تعیین سوئیچ­های مورد نیاز
• طراحی ساختار ارتباطی شبکه
• طراحی ساختار ارتباطی سایت مرکزی
• طراحی ساختار ارتباطات شبکه داخلی با شبکه­های خارجی مانند شبکه اینترنت، و ….
• طراحی نحوه برقراری ارتباط کاربران خارجی با شبکه داخلی
• طراحی ساختار مسیریابی شبکه
• تعیین تجهیزات مورد نیاز جهت برقراری ارتباطات از جمله روترها، مودم­ها و ….
• طراحی ساختار مطمئن برای شبکه
• تعیین تجهیزات امنیتی مورد نیاز شامل : Firewall ، IDS/IDP/IPS ،
• تعیین تکنولوژیهای امنیتی مورد نیاز شامل : NAT، PAT، IP Sec، VPN، …..
• طراحی ساختار VLAN مناسب برای شبکه
• طراحی ساختار DMZ مناسب
• تعیین سیاست­های امنیتی شبکه
• تعیین روال­های امنیتی شامل روالهای پیکربندی، روال های دسترسی، روال های مدیریتی، روال­های بروزرسانی، روالهای مستندسازی شبکه
• تعیین تجهیزات برق اضطراری مورد نیاز
• تهیه و توسعه محصولات نرم افزاری در صورت نیاز
• طراحی SAN و NAS در صورت نیاز
• تعیین Storage Device های مورد نیاز
• تعیین روالهای تهیه نسخ پشتیبان
• تعیین محل مناسب جهت سایت مرکزی
• تعیین تهویه مناسب محل سایت مرکزی
• تعیین دربهای مخصوص جهت سایت مرکزی
• تعیین قفلهای الکترونیکی جهت سایت مرکزی
• تعیین رکهای مناسب در نقاط توزیع
• تعیین کابل کشی و داکت کشی مناسب از نظر امنیتی در هر بخش
• تعیین سیستم ضد حریق جهت سایت مرکزی
• نرم‌افزارهای تشخیص و مقابله با ویروس
• سیستم‌های تشخیص هویت، تعیین حدود اختیارات و ثبت عملکرد کاربران
• سیستم‌های ثبت و تحلیل رویداد نامه‌ها
• سیستم‌های رمزنگاری اطلاعات
• نرم‌افزارهای نظارت بر ترافیک شبکه
• نرم‌افزارهای پویشگر امنیتی
• نرم‌افزارهای مدیریت امنیت شبکه

طرح پشتیبانی از حوادث

• اجرای طرح امنیت شبکه و اطلاعات ( ISMS )در یک سازمان موجب ایجاد حداکثری امنیت در ساختار شبکه و اطلاعات سازمان خواهد شد . اما با گذشت زمان ، روش های قبلی از جمله نفوذ به شبکه ها تغییر خواهند یافت و سیستم امنیتی شبکه و اطلاعات سازمان بر اساس تنظیمات قبلی قادر به حل مشکلات جدید نخواهند بود . از طرفی دیگر هر روزه آسیب پذیری های جدیدی شبکه و اطلاعات سازمان را تهدید می نمایند و در صورتی که از راه حل های جدید استفاده ننمائیم ، سیستم شبکه و اطلاعات سازمان بسیار آسیب پذیر خواهد شد و عملا فعالیت های چندساله و هزینه های انجام شده در زمینه امنیت شبکه و اطلاعات بی فایده خواهد شد.
• برای حل مشکلات ذکر شده در سیستم مدیریت امنیت اطلاعات و شبکه ، تشکیلات وطرح های پشتیبانی امنیت ، پیش بینی شده است . مهمترین این روش ها ، طرح پشتیبانی از حوادث می باشد .

 

• دسته بندی حوادث

حوادث امنیتی به همراه عوامل آنها دسته بندی می‌گردد . برخی از این دسته بندی ها عبارتند از :

• کدهای مخرب
• دسترسی غیر مجاز
• ممانعت از سرویس
• …………..

• پاسخ به حوادث

پاسخ گوئی به حوادث یکی از ضروری ترین کارها می باشد چرا که تکرار حملات می تواند منجر به افزایش دامنه خسارات و زیان هایی بر سرمایه های سازمانی گردد . در این قسمت ضرورت‌های پاسخ به حوادث وفواید آن ذکر می گردد.

• ارائه سیاست ها و رویه های پشتیبانی حوادث
• ساختار تیم پشتیبانی حوادث
  • معرفی و انتخاب انواع تیم های پشتیبانی حوادث
    • تیم پاسخ به حوادث مرکزی
    • تیم پاسخ به حوادث توزیع شده
    • تیم اطلاع رسانی
  • معرفی و انتخاب پرسنل
• وظایف تیم پشتیبانی حوادث
  • ارزیابی آسیب پذیری ها
  • تشخیص تهاجم
  • آموزش
  • اطلاع رسانی

 

• فاز های مختلف این متدولوژی عبارتند از :
  • آماده سازی
  • تشخیص و تحلیل
  • محدود سازی ، ریشه کنی و ترمیم
  • فعالیت های بعد از ترمیم

 

• با توجه به خروجی فاز های قبلی ، آندسته از کنترل های استاندارد ISO 27001 که برای سازمان مناسب می باشند انتخاب می گردد.

سپس ارتباط این کنترل ها و راهکار های ارائه شده در فاز قبلی مشخص می گردد بعبارتی راهکار های لازم برای پیاده سازی کنترل های انتخابی ارائه میگردد .
 
اجزاء و ساختار تشکیلات امنیت اطلاعات سازمان

• متشکل از سه جزء اصلی به شرح زیر می باشد:
  • در سطح سیاستگذاری: کمیته راهبری امنیت فضای تبادل اطلاعات دستگاه
  • در سطح مدیریت اجرائی: مدیر امنیت فضای تبادل اطلاعات دستگاه
  • در سطح فنی: واحد پشتیبانی امنیت فضای تبادل اطلاعات دستگاه

 

• شرح وظایف کمیته راهبری امنیت
  • بررسی، تغییر و تصویب سیاستهای امنیتی
  • پیگیری اجرای سیاستهای امنیتی از مدیر امنیت
  • تائید طرح‌ها و برنامه‌های امنیت سازمان شامل:
    • طرح تحلیل مخاطرات امنیتی
    • طرح امنیت شبکه
    • طرح مقابله با حوادث و ترمیم خرابیها
    • برنامه آگاهی‌رسانی امنیتی کاربران
    • برنامه آموزش های امنیتی

 

• شرح وظایف مدیر امنیت:
  • تهیه پیش نویس سیاستهای امنیتی و ارائه به کمیته راهبری امنیت
  • تهیه طرح‌ها و برنامه‌های امنیت سازمان با کمک واحد مشاوره و طراحی
  • نظارت بر اجرای کامل سیاستهای امنیتی
  • مدیریت ونظارت بر واحد پشتیبانی امنیت سازمان
  • تشخیص ضرورت و پیشنهاد بازنگری و اصلاح سیاستهای امنیتی
  • تهیه پیش نویس تغییرات سیاستهای امنیتی

 

• شرح وظایف پشتیبانی حوادث امنیتی :
  • مرور روزانه Log فایروالها، مسیریابها، تجهیزات گذرگاههای ارتباط با سایر شبکه‌ها و سرویس‌دهنده‌های شبکه داخلی و اینترنت دستگاه، بمنظور تشخیص اقدامات خرابکارانه و تهاجم.
  • مرور ترددهای انجام شده به سایت و Data Centre و گزارش اقدامات انجام شده توسط کارشناسان و مدیران سرویسها.
  • مرور روزانه گزارش سیستم تشخیص تهاجم به منظور تشخیص تهاجم‌های احتمالی.
  • انجام اقدامات لازم بمنظور کنترل دامنه تهاجم جدید.
  • ترمیم خرابیهای ناشی از تهاجم جدید.
  • مستندسازی و ارائه گزارش تهاجم تشخیص داده شده به تیم هماهنگی و آگاهی‌رسانی امنیتی.
  • اعمال تغییرات لازم در سیستم امنیت شبکه، بمنظور مقابله با تهاجم جدید.
  • مطالعه و بررسی تهاجم‌های جدید و اعمال تنظیمات لازم در سیستم تشخیص تهاجم و سایر بخشهای سیستم امنیت شبکه.
  • ارائه پیشنهاد در خصوص تغییرات لازم در سیستم امنیتی شبکه بمنظور مقابله با تهدیدهای جدید، به مدیر امنیت شبکه.
  • آگاهی‌رسانی به کاربران شبکه در خصوص روشهای جدید نفوذ به سیستم‌ها و روشهای مقابله با آن، آسیب‌پذیریهای جدید ارائه شده برای سیستم‌های مختلف و روشهای بر طرف نمودن آنها.

 

• بررسی و در صورت نیاز، انتخاب، خرید و تست نرم افزار ضدویروس مناسب برای ایستگاههای کاری و سرویس دهنده‌های شبکه دستگاه به صورت دوره‌ای ( هر سال یکبار)
• نصب نرم‌افزار ضدویروس روی ایستگاههای کاری مدیران و ارائه اطلاعات لازم به سایر کاربران، جهت نصب نرم‌افزار.
• نصب نرم‌افزار ضدویروس روی کلیه سرویس‌دهنده‌های شبکه دستگاه.
• تهیه راهنمای نصب و Update نمودن نرم‌افزار ضدویروس ایستگاههای کاری و سرویس‌دهنده‌ها و ارائه آن به کاربران شبکه از طریق واحد هماهنگی و آگاهی‌رسانی امنیتی.
• مرور روزانه Log و گزارشات نرم‌افزارهای ضد ویروس.
• مطالعه و بررسی ویروسهای جدید و روشهای مقابله با آن.
• ارائه روشهای مقابله با ویروسها به تیم هماهنگی و آگاهی‌رسانی امنیتی، جهت اعلام به کاربران و انجام اقدامات لازم.
• انجام اقدامات پیشگیرانه لازم بمنظور کنترل دامنه تاثیر ویروسهای جدید.
• ترمیم خرابیهای ناشی از ویروسهای جدید.

مستندسازی و ارائه گزارشهای آماری از ویروسها، مقابله با آنها و خرابیهای ناشی از ویروسها در شبکه دستگاه، به تیم هماهنگی و آگاهی‌رسانی امنیتی.

• انتخاب ابزارهای مناسب جهت محافظت فیزیکی از تجهیزات و سرمایه‌های شبکه در مقابل حوادث فیزیکی و دسترسی‌های غیرمجاز .
• مرور روزانه رویدادنامه‌های دسترسی فیزیکی به سرمایه‌های شبکه، بویژه در سایت.
• سرکشی دوره‌ای به سایت، تجهیزات مستقر در طبقات ساختمانها و مسیر عبور کابلها به منظور اطمینان از تامین امنیت فیزیکی آنها.
• مطالعه و بررسی حوادث فیزیکی جدید و روشهای مقابله با آن.
• ارائه روشها به تیم هماهنگی و آگاهی‌رسانی امنیت جهت اعلام به کاربران و انجام اقدامات لازم.
• انجام اقدامات لازم بمنظور کنترل دامنه حوادث فیزیکی.
• ترمیم خرابیهای ناشی از حوادث فیزیکی.
• مستندسازی و ارائه گزارشهای آماری از حوادث فیزیکی، مقابله با این حوادث و خرابیهای ناشی از آنها به تیم هماهنگی و آگاهی‌رسانی امنیتی.
• ارائه پیشنهاد در خصوص Update نمودن تجهیزات و روشهای تامین امنیت فیزیکی به مدیر امنیت شبکه.
• ارائه اطلاعات لازم جهت آگاهی رسانی به کاربران در خصوص حوادث فیزیکی، توسط تیم هماهنگی و آگاهی‌رسانی امنیتی.

• شرح وظایف نظارت و بازرسی
  • مانیتورینگ ترافیک شبکه ( در حیطه مانیتورینگ مجاز )
  • بازرسی دوره ای از ایستگاههای کاری، سرویس‌دهنده‌ها، تجهیزات شبکه و سایر سخت‌افزارهای موجود شبکه، به منظور اطمینان از رعایت سیاستهای امنیتی مربوطه.
  • بازرسی دوره ای از سخت‌افزارهای خریداری شده و تطبیق پروسه “سفارش، خرید، تست، نصب و پیکربندی سخت‌افزارهای شبکه دستگاه” با سیاستهای مربوطه.
  • بازرسی دوره ای از نرم‌افزارهای موجود شبکه به منظور اطمینان از رعایت سیاستهای امنیتی مربوطه.
  • بازرسی دوره ای از نرم‌افزارهای خریداری شده و تطبیق پروسه “سفارش، خرید، تست، نصب و پیکربندی نرم‌افزارهای شبکه دستگاه” با سیاستهای مربوطه.
  • بازرسی دوره ای از نحوه اتصال شبکه داخلی و شبکه دسترسی به اینترنت دستگاه، با سایر شبکه‌های مجاز، بر اساس سیاستهای امنیتی مربوطه.
  • بازرسی دوره ای از اطلاعات شبکه دستگاه به منظور اطمینان از رعایت سیاستهای امنیتی مربوطه.
  • بازرسی دوره ای از کاربران شبکه دستگاه به منظور اطمینان از آگاهی کاربران از حقوق و مسئولیتهای خود و رعایت سیاستهای امنیتی مرتبط با خود.
  • بازرسی دوره ای از روند تهیه اطلاعات پشتیبان.
  • بازرسی دوره ای از روند تشخیص و مقابله با حوادث امنیتی در شبکه دستگاه.
  • بازرسی دوره ای از روند تشخیص و مقابله با ویروس در شبکه دستگاه.
  • بازرسی دوره ای از روند تشخیص و مقابله با ویروس در شبکه دستگاه
  • بازرسی دوره ای از روند تشخیص و مقابله با حوادث فیزیکی در شبکه دستگاه
  • بازرسی دوره ای از روند نگهداری سیستم امنیتی شبکه در شبکه دستگاه
  • بازرسی دوره ای از روند مدیریت تغییرات در شبکه دستگاه
  • بازرسی دوره ای از روند آگاهی‌رسانی امنیتی به کاربران شبکه دستگاه
  • بازرسی دوره ای از روند آموزش پرسنل واحد پشتیبانی امنیت شبکه دستگاه

بازرسی دوره ای از روند واگذاری فعالیت‌ها به پیمانکاران خارج از دستگاه

• شرح وظایف مدیریت تغییرات
  • بررسی درخواست خرید، ایجاد یا تغییر سخت‌افزارها، نرم‌افزارها، لینکهای ارتباطی، سیستم‌عاملها و سرویسهای شبکه از دیدگاه امنیت شبکه، آسیب‌پذیریهای سیستم یا سرویس مورد نظر، مشکلات امنیتی ناشی از بکارگیری آن بر سایر بخشهای شبکه و نهایتا تصمیم‌گیری در خصوص تائید یا رد درخواست.
  • بررسی آسیب‌پذیری سخت‌افزار، نرم‌افزار کاربردی، سیستم عامل، خطوط ارتباطی و سرویسها و امنیت شبکه.
  • آگاهی‌رسانی به طراحان شبکه و امنیت شبکه در خصوص آسیب‌پذیری فوق، بمنظور لحاظ نمودن در طراحی.
  • ارائه گزارش بررسی‌ها به تیم هماهنگی و آگاهی‌رسانی امنیت شبکه.
  • بررسی موارد مربوط به جابجائی کاربران شبکه و پرسنل تشکیلات امنیت شبکه بمنظور تغییر در دسترسی و حدود اختیارات آنها در دسترسی به سرمایه‌های شبکه.
  • بررسی نیازمندیهای امنیتی و روشهای ایمن‌سازی سیستم عاملها، سرویس‌دهنده‌های شبکه، خطوط ارتباطی، نرم‌افزارها، تجهیزات شبکه و امنیت شبکه جدید که بکارگیری آنها در شبکه، مورد تائید قرار گرفته است.
  • ارائه دستورالعمل‌های ایمن‌سازی و پیکربندی امن برای هر یک از موارد فوق
• شرح وظایف نگهداری امنیت
  • بررسی وضعیت عملکرد سیستم امنیتی شبکه، شامل:
    • عملکرد صحیح فایروالها.
    • عملکرد صحیح سیستم تشخیص تهاجم.
    • عملکرد صحیح سیستم ثبت وقایع.
    • عملکرد صحیح سیستم تهیه نسخه پشتیبان.
  • ارائه گزارشات دوره ای در خصوص عملکرد سیستم امنیتی
  • ارائه گزارشات آماری از وضعیت سیستم امنیتی شبکه.
  • رفع اشکالات تشخیص داده شده در عملکرد سیستم امنیتی

 
برنامه PLAN
استقرار ISMS شامل تعیین خط مشی ها، اهداف، فرایندها و روالها به منظور مدیریت مخاطرات در راستای اهداف سازمان است.
در این مرحله، باید سرمایه اولیه راه اندازی ISMS، روشهای مستند سازی، مدیریت مخاطرات وروشهای اختصاص منابع مشخص شود. باید مطمئن شد
که“ محتوا و محدوده ISMS بطور دقیق و مناسب مشخص شده است“.
فعالیتهای مورد نیاز در این مرحله عبارت‌اند از:
۱- تعریف محدوده (Scope)
۲ – تعریف خط مشی ISMS
۳ – تعیین تهدیدات
۴ – ارزیابی تهدیدات
۵ – انتخاب کنترل‌های مناسب
اجرا   Do
در این مرحله کلیه کنترل‌ها‌بایدعملیاتی شوند
رویه‌هایی برای تشخیص سریع و پاسخگویی به حوادث لازم می باشد.
آگاه نمودن کلیه کارمندان و افراد سازمان نسبت به امنیت در سازمان
آموزشهای لازم جهت عملکرد مناسب برای برخورد با ریسک و تهدید
خلاصه ای از فعالیتهای این مرحله عبارت است از:
_ فرموله کردن طرح برخورد با مخاطرات
_ اجرای طرح برخورد با مخاطرات
_ پیاده سازی کنترل‌های امنیتی انتخاب شده
_ اجرای برنامه های آموزش و آگاهی‌رسانی
_ مدیریت منابع و فعالیتها
بررسی Check
هدف این مرحله اطمینان ازاجرای بموقع کنترل‌های امنیتی و
برآورده شدن اهداف امنیت اطلاعات است.
ارزیابی میزان کارایی و مؤثر بودن ISMS
اجرای روالهای ارزیابی و مرور فرایندها و خط مشی ها
انجام بازرسیهای دوره‌ای درون سازمانی و برون سازمانی
فعالیتهای کنترلی متنوع
بازرسیهای داخلی ISMSومدیریت بازبینی از مراحل پیاده سازی امنیت
نتایج حاصل از بازبینی سیستم‌های تشخیص نفوذ،واقعه نگاری، دسترسیهای غیرمجازبه شبکه و عبور از سیستم‌های امنیتی ، جهت بهبود عملکرد سیستم امنیتی شبکه، استفاده و سپس در سیاستهای امنیتی شبکه اعمال می شود.
اقدام ACT
اقدامات اصلاحی در جهت بهبود ISMS براساس نتایج مرحله ارزیابی
 
این اقدامات در دو مقوله طبقه بندی میگردد.
۱ – بر اساس مرحله خاصی از زمان : در زمان تعامل فناوری با اطلاعات، عکس العمل لازم در برابر یک مشکل امنیتی   میتواند از نوع پیشگیرانه (کنشی) یا اصلاحی (واکنشی) باشد.
۲- بر اساس سطوح پیاده سازی نظامهای امنیتی: فناوری امنیت اطلاعات،از نوع واکنشی ویااز نوع کنشی را می توان در سه سطح‌، شبکه‌، میزبان، برنامه های کاربردی‌، پیاده‌سازی نمود.
 
 
ممیزی داخلی سازمان در حوزه کاری (Scope )

• در این مرحله که پس از اتمام کار صورت می گیرد با توجه به چک لیست ها و مستندات مربوط به سرممیزی استاندارد ISO 27001 , توسط شخص یا تیم ممیز کننده ، کلیه فعالیت های انجام گرفته در پروژه بازبینی و بررسی می گردند تا در صورتیکه انحرافی نسبت به اهداف استاندارد وجود دارد ، سریعا برطرف گردد .
• پس از پایان این مرحله و بعد از برطرف کردن نقاط ضعف موجود ، سازمان آماده دریافت گواهینامه بین‌المللی استاندارد ISO 27001 می باشد .

صدور گواهینامه بین‌المللی استانداردISO 27001

• در پایان پروژه و پس از اینکه تشخیص داده شد که سازمان آماده دریافت گواهینامه می باشد و در صورت تمایل مدیریت سازمان ، از یک مرکز تصدیق معتبر (Certification Body – CB) برای صدور گواهینامه دعوت بعمل می آید .

 
مزایای دریافت گواهینامه

• افزایش اعتبار سازمان
• تضمین پاسخگویی
• تسریع بهبود فرایند ها
• تضمین تعهد مدیریت
• تمایل یافتن مشتریان
• ایجاد انگیزه در کارکنان