دانلود فایل پاورپوینت آشنایی با ISMS

بخشی از پاورپوینت

--- پاورپوینت شامل تصاویر میباشد ----

اسلاید 1 :

ISMS چيست؟

سيستم مديريت امنيت اطلاعات يا Information Security Management System سيستمي براي پياده سازي کنترل هاي امنيتي مي باشد که با برقراري زيرساخت هاي مورد نياز ايمني اطلاعات را تضمين مي نمايد. مدل PDCA ساختاري است که در پياده سازي ISMS بکار برده مي شود و ISMS زيربناي BS7799 مي باشد .

BS7799 حفاظت از اطلاعات را در سه مفهوم خاص يعني قابل اطمينان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعريف مي کند .

براي داشتن سازماني با برنامه و ايده آل ، هدفمند کردن اين تلاش ها براي رسيدن به حداکثر ايمني امري است که بايد مدنظر قرار گيرد .
استاندارد BS7799 راهکاري است که اطلاعات سازمان و شرکت را دسته بندي و ارزش گذاري کرده و با ايجاد سياستهاي متناسب با سازمان و همچنين پياده سازي 127 کنترل مختلف، اطلاعات سازمان را ايمن مي سازد. اين اطلاعات نه تنها داده هاي کامپيوتري و اطلاعات سرور ها بلکه کليه موارد حتي نگهبان سازمان يا شرکت رادر نظر خواهد گرفت .

اسلاید 2 :

آيا امنيت 100% امکانپذير است؟
با پيشرفت علوم کامپيوتري و همچنين بوجود آمدن ابزارهاي جديد Hack و Crack و همچنين وجود صدها مشکل ناخواسته در طراحي نرم افزارهاي مختلف و روالهاي امنيتي سازمان ها ، هميشه خطر حمله و دسترسي افراد غيرمجاز وجود دارد. حتي قوي ترين سايتهاي موجود در دنيا در معرض خطر افراد غيرمجاز و سودجو قرار دارند. ولي آيا چون نمي توان امنيت 100% داشت بايد به نکات امنيتي و ايجاد سياستهاي مختلف امنيتي بي توجه بود؟

فوائد استاندارد BS7799 و لزوم پياده سازي :
استاندارد BS7799 قالبي مطمئن براي داشتن يک سيستم مورد اطمينان امنيتي مي باشد. در زير به تعدادي از فوائد پياده سازي اين استاندارد اشاره شده است :

- اطمينان از تداوم تجارت و کاهش صدمات توسط ايمن ساختن اطلاعات و کاهش تهديدها
- اطمينان از سازگاري با استاندارد امنيت اطلاعات و محافظت از داده ها
- قابل اطمينان کردن تصميم گيري ها و محک زدن سيستم مديريت امنيت اطلاعات
- ايجاد اطمينان نزد مشتريان و شرکاي تجاري
- امکان رقابت بهتر با ساير شرکت ها
- ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات
 )نبايدبخاطر مشکلات امنيتي اطلاعات و ايده هاي خود را در خارج سازمان پنهان ساخت(

اسلاید 3 :

مراحل ايجاد سيستم مديريت امنيت اطلاعات (ISMS)

ايجاد و تعريف سياست ها :
در اين مرحله ايجاد سياستهاي کلي سازمان مدنظر قراردارد. روالها از درون فعاليت شرکت يا سازمان استخراج شده و در قالب سند و سياست امنيتي به شرکت ارائه مي شود. مديران کليدي و کارشناسان برنامه ريز نقش کليدي در گردآوري اين سند خواهند داشت .

تعيين محدوده عملياتي :
يک سازمان ممکن است داراي چندين زيرمجموعه و شاخه هاي کاري باشد لذا شروع پياده سازي سيستم امنيت اطلاعات کاري بس دشوار است . براي جلوگيري از پيچيدگي پياده سازي ، تعريف محدوده و Scope صورت مي پذيرد . Scope مي تواند ساختمان مرکزي يک سازمان يا بخش اداري و يا حتي سايت کامپيوتري سازمان باشد. بنابراين قدم اول تعيين Scope و الويت براي پياده سازي استاندارد امنيت اطلاعات در Scope خواهد بود. پس از پياده سازي و اجراي کنترل هاي BS7799 و اخذ گواهينامه براي محدوده تعيين شده نوبت به پياده سازي آن در ساير قسمت ها مي رسد که مرحله به مرحله اجرا خواهند شد  

اسلاید 4 :

برآورد دارايي ها و طبقه بندي آنها :
براي اينکه بتوان کنترل هاي مناسب را براي قسمت هاي مختلف سازمان اعمال کرد ابتدا نياز به تعيين دارايي ها مي باشد. در واقع ابتدا بايد تعيين کرد چه داريم و سپس اقدام به ايمن سازي آن نماييم. در اين مرحله ليست کليه تجهيزات و دارايي هاي سازمان تهيه شده و باتوجه به درجه اهميت آن طبقه بندي خواهند شد .

ارزيابي خطرات :
با داشتن ليست دارايي ها و اهميت آن ها براي سازمان ، نسبت به پيش بيني خطرات اقدام کنيد. پس از تعيين کليه خطرات براي هر دارايي اقدام به تشخيص نقاط ضعف امنيتي و دلايل بوجود آمدن تهديدها نماييد و سپس با داشتن اطلاعات نقاط ضعف را برطرف سازيد و خطرات و تهديدها و نقاط ضعف را مستند نماييد .

مديريت خطرات :
مستندات مربوط به خطرات و تهديد ها و همچنين نقاط ضعف امنيتي شما را قادر به اتخاذ تصميم درست و مؤثر براي مقابله با آنها مي نمايد .

انتخاب کنترل مناسب :
استاندارد BS7799 داراي 10 گروه کنترلي مي باشد که هرگروه شامل چندين کنترل زيرمجموعه است بنابراين در کل 127 کنترل براي داشتن سيستم مديريت امنيت اطلاعات مدنظر قراردارد. با انجام مراحل بالا شرکت يا سازمان شما پتانسيل پياده سازي کنترل هاي مذکور را خواهد داشت .

اسلاید 5 :

اين ده گروه کنترلي عبارتند از :
1- سياستهاي امنيتي
2- امنيت سازمان
3- کنترل و طبقه بندي دارايي ها
4- امنيت فردي
5- امنيت فيزيکي
6- مديريت ارتباط ها
7- کنترل دسترسي ها
8- روشها و روالهاي نگهداري و بهبود اطلاعات
9- مديريت تداوم کار سازمان
10- سازگاري با موارد قانوني

تعيين قابليت اجرا :
جمع آوري ليست دارايي ها، تعيين تهديدها ، نقاط ضعف امنيتي و در نهايت ايجاد جدول کنترل ها مارا در به دست آوردن جدولي موسوم به SOA يا Statement Of Applicability ياري مي رساند. اين جدول ليستي نهايي از کليه کنترل هاي مورد نياز براي پياده سازي را ارائه مي دهد. با مطالعه اين جدول و مشخص کردن کنترل هاي قابل اجرا و اعمال آنها ،سازمان يا شرکت خودرا براي اخذ استاندارد BS7799 آماده خواهيد ساخت .

نتيجه آنکه براي رسيدن به يک قالب درست امنيتي ناچار به استفاده از روال هاي صحيح کاري و همچنين پياده سازي استاندارد امنيت هستيم و استاندارد BS ISO/IEC 17799:2000 انتخابي درست براي رسيدن به اين منظور مي باشد

اسلاید 6 :

 اهميت امنيت در زندگي روزمره :

آرامش در زندگي بدون امنيت امکانپذير نيست .

• اهميت امنيت در سيستم هاي اطلاعاتي :

بدون اطمينان از امن بودن سيستم هاي اطلاعاتي اعتماد به آنها محال است مگر براي افراد نا آگاه .

اسلاید 7 :

ISO (سازمان بين المللي استاندارد سازي) و  IEC(كميسيون      بين المللي الكتروتكنيك) در كنار هم سيستم تخصصي استاندارد سازي جهاني را تشكيل داده  اند که بالاترين مرجع استانداردسازي ISMS است .

اسلاید 8 :

ISO و IEC در زمينه فنــاوري اطلاعات ، يك كميته فني مشترك را تاسيس نموده اند كه به آن ISO/IEC JTC 1  گفته مي شود .

----------------

انتشار استاندارد به صورت استاندارد بين  المللي مستلزم تاييد از سوي حداقل 75% از آراء هيات ها و سازمان هاي ملي مي باشد.

اسلاید 9 :

هدف از تدوين استانداردهاي ISMS :

هدف از تهيه اين استاندارد بين المللي ، ارائه مدلي است كه بر اساس آن بتوان يك سيستم مديريت امنيت اطلاعات يا همان ISMS را ايجاد ، اجرا ، بهره برداري ، پايش ، بازنگري ، نگهداري و بهبود و ارتقاء بخشيد .

اسلاید 10 :

رويکرد فرآيندي :

به كاربرد سيستم فرآيندها در يك سازمان و شناسايي و تعامل اين فرآيندها و مديريت آنها "رويكرد فرآيندي" گفته مي شود و استاندارد هاي مطرح ISMS مبتني بر رويکرد فرآيندي است .