پاورپوینت کنترل های استاندارد ISO/IEC 27001

بخشی از پاورپوینت

اسلاید 1 :

کنترل های استاندارد
ISO/IEC 27001

اسلاید 2 :

حوزه هاي يازده گانه ISO/IEC 27001

اسلاید 3 :

هدف : جهت گيري و جلب حمايت مديريت از امنيت اطلاعات
در ارتباط با نيازمنديها و قوانين و مقررات مربوطه
حوزه اول - خط مشي امنيتي
خط مشي امنيت اطلاعات
سند خط مشی امنيت اطلاعات
اجزاء مستند خط مشي امنيت اطلاعات
تعريفي از امنيت اطلاعات سازمان

بيانيه اي كه بيانگر پشتيباني مديريت از اهداف و مفاهيم امنيت متناسب با اهداف و استراتژي سازمان است
تعيين چارچوب لازم براي رسيدن به اهداف و اعمال كنترل هاي، نظير ساختار ارزيابي و مديريت مخاطرات
توضيح مختصري راجع به خط مشي ها، اصول، استانداردها و نيازمندي هاي مطابقت با قوانين و مقرارت
تعريفي از مسؤوليت هاي عمومي و ويژه، نظير گزارش حوادث امنيتي به مديريت

بازنگری خط مشی امنيت اطلاعات

اسلاید 4 :

حوزه دوم-سازماندهي امنيت اطلاعات
حمايت مديريت ازامنيت اطلاعات
ايجاد هماهنگي در امنيت اطلاعات
تخصيص مسؤوليت هاي امنيت اطلاعات
فرآيندهاي مجاز براي امكانات IT
تعهدنامه حفظ اسرار سازماني
تماس با مسؤولين
تماس با گروه هاي ذينفع خاص
بازنگري امنيت اطلاعات توسط عوامل مستقل
تشخيص خطرهاي مرتبط با طرف هاي بيروني
وضعيت هاي امنيت در ارتباط با مشتريان
در نظر گرفتن امنيت در قرارداد با خارج از سازمان
سازماندهي داخلي
امنيت طرف هاي بيرون از سازمان

هدف : مديريت امنيت اطلاعات در درون سازمان وطرف های بيرونی است

اسلاید 5 :

ارزش گذاري بر دارايي ها
فهرست اموال و دارايي ها

هدف : برآورد ارزش واقعي دارايي هاي سازمان
انواع دارايي هاي عنوان شده :
دارايي هاي اطلاعاتي
دارايي هاي نرم افزاري
دارايي هاي فيزيكي
تأسيسات و سرويس هاي مرتبط
افراد و تجارب و شايستگي هاي آنان(منابع انسانی)
دارايي هاي معنوي، نظير حيثيت و اعتبار سازمان

حوزه سوم – مديريت دارايي ها

اسلاید 6 :

طبقه بندي اطلاعات
طبقه بندي اطلاعات
هدف : اطمينان از اينكه اطلاعات با سطح مناسبي از حفاظت نگهداري و تبادل مي شوند.
محرمانگي
يكپارچگي
قابليت دسترسي
علامت گذاري وکنترل دسترسی به اطلاعات

اسلاید 7 :

قبل از بكارگيري
منظور از بكارگيري در اينجا تمامي موارد استخدام ، تعيين مسؤوليت هاي جديد، تغيير مسؤوليت، به كارگيري نيروهاي قراردادي و پايان دادن به كار در هر يك از موارد فوق است.
لحاظ نمودن امنيت در تعريف شغل و منبع
درج امنيت در شرح خدمات مشاغل
هدف: اطمينان ازآنکه كاركنان، طرف هاي قرارداد و كاربران طرف سوم وظايف خود را مي دانند، صلاحيت كار مورد نظر رادارند. وهمچنين به منظور كاهش خطر دزدي، سوء استفاده و كلاهبرداري در سازمان.
استخدام انتخابی
تعهدنامه حفظ اسرار و محرمانگي

حوزه چهارم – امنيت منابع انساني

اسلاید 8 :

حين بكارگيري
آگاهی نسبت به امنيت وظايف
در اختيار قرار دادن دستورالعمل هاي امنيتي
انگيزه لازم براي لحاظ نمودن امنيت در سازمان
آگاهي و هشياري نسبي در امنيت مسائل مرتبط با حوزه کاری
آشنائی با امنيت در بين كاركنان سازمان
مهارت و صلاحيت
آموزش كاربران
مسؤوليت هاي مديران
فرآيندهاي انضباطي
حوزه چهارم – امنيت منابع انساني
حين خدمت

اسلاید 9 :

خاتمه دادن به كار
خاتمه دادن يا تغيير در بكارگيري
مسؤوليت هاي مرتبط با خاتمه دادن به همكاري
هدف : اطمينان از اينكه به خدمت كاركنان، طرف هاي قرارداد و كاربران سازمان به شيوه مناسبي پايان داده مي شود.
بازگرداندن اموال
حذف يا اصلاح حقوق دسترسي

اسلاید 10 :

ايجاد حصار لازم براي محيط هاي امن
محيط هاي امن
هدف : پيشگيري از دسترسي هاي غيرمجاز، خسارت يا دخالت در سرويس IT
كنترل هاي ورودي هاي فيزيكي
امنيت دفاتر، اتاقها و امكانات
حفاظت در مقابل تهديدهاي محيطي و خارجي
كار در محيط هاي امن
جداسازي محل هاي تخليه و بارگيري

حوزه پنجم – امنيت محيطي و فيزيکي

اسلاید 11 :

امنيت تجعيزات

هدف: پيشگيري ازدسترسی غيرمجاز، خسارت يا لو رفتن داراييها و اطلاعات سازمان
بهداشت محيط كار، ايمني و امنيت محل استقرا ر
امنيت و ايمني تأسيسات جنبي نظير برق و تهويه
امنيت كابل و كابل كشي
امنيت تجهيزات بيرون از سازمان
تعمير و نگهداري تجهيزات
اسقاط نمودن يا مزايده امن تجهيزات
خارج نمودن تجهيزات از محل سازمان
بازنگري امنيت اطلاعات توسط عوامل مستقل

اسلاید 12 :

روش هاي عملياتي و مسؤوليتها
هدف : حصول اطمينان ازکارکرد صحيح وامن پردازش اطلاعات وامنيت در ارتباط با خدمات شخص ثالث و همچنين به حداقل رساندن مخاطرات ناشي از تست سيستم ها وحفظ يکپارچگی نرم افزار واطلاعات
روندهاي عملكرد مستنده شده
مديريت تغييرات
تفكيك وظايف
جداسازي تجهيزات آزمايشي از تجهيزات عملياتي
حوزه ششم – مديريت ارتباطات و عمليات

اسلاید 13 :

مديريت ارائه خدمات طرح هاي سوم
ارائه خدمات مورد انتظار
نظارت و بازنگري در نحوه ارائه خدمات
مديريت تغييرات در ارائه خدمات
مديريت ظرفيت
شرايط قبولي سيستم
طراحي و تست قبولي سيستم

اسلاید 14 :

كنترل کدهای مخرب
كنترل كد های سيار
حفاظت از نرم افزار بدخواه
مديريت نسخه هاي پشتيبان
تهيه نسخه هاي پشتيبان
نگهداري از اطلاعات پشتيبان
فرآيندهاي بازيابي از نسخه هاي پشتيبان
اطمينان از حراست اطلاعات در شبكه ها و حفاظت اززيرساخت پشتيباني کننده
كنترل هاي شبكه
امنيت سرويس هاي شبكه
رمزنگاري لازم در نسخه هاي پشتيبان

اسلاید 15 :

اداره کردن محيط های ذخيره سازی
مديريت رسانه هاي قابل حمل
انهدام مناسب رسانه ها
رويه هاي جابجايي اطلاعات
خط مشي ها و رويه هاي تبادل اطلاعات
توافقات تبادل داده و نرم افزار
تبادل اطلاعات
حفاطت از اطلاعات ونرم افزار درتبادل يک سازمان با هر موجوديت بيرونی
امنيت مستندات سيستم
امنيت رسانه ها در هنگام انتقال
سيستم هاي اطلاعاتی کسب وکار
سيستم هاي پيام رساني الكترونيكي

اسلاید 16 :

سرويس هاي تجارت الكترونيكي
حفاظت از كلاهبرداري، تعارض حقوقي و .
امنيت تراكنش هاي بر خط
اطلاعات در دسترس عموم
نظارت بر فعاليت هاي ثبت شده
نظارت بر نحوة كاركرد و استفاده از سيستمها
نظارت
تشخيص فعاليت هاي غيرمجاز پردازش اطلاعات
حراست از وقايع و اطلاعات ثبت شده
ثبت خطاها
مديريت ثبت كارهاي مديران و اپراتورهاي شبكه
همزمان نمودن ساعت سيستمها

اسلاید 17 :

کنترل دسترسی به اطلاعات
هدف : كنترل دسترسي به اطلاعات وپيشگيري از دسترسي های غيرمجاز مي باشد
ايجاد , تدوين وبازنگری
خط مشي مستند شده كنترل دسترسي
ثبت كاربران
مديريت دسترسي با اختيارات ويژه
مديريت و حصول اطمينان ازدسترسي كاربر
مديريت رمز عبور كاربران
بازنگري در حقوق دسترسي كاربران

حوزه هفتم – کنترل دسترسي

اسلاید 18 :

بكارگيري رمز عبور
تجهيزات بدون مراقبت کاربر
مسؤوليت هاي كاربر
پيشگيري از دسترسي غيرمجاز کاربران
خط مشي ميزپاک و صفحه پاک
كنترل دسترسي به شبكه
حفاظت از دسترسي غيرمجاز به سرويس هاي شبكه
خط مشي استفاده از خدمات شبكه
تصديق هويت كاربر در ارتباطات بيروني
شناسايي تجهيزات در شبكه
تفكيك در شبكه ها
حفاظت پورت هاي تنظيم و رفع عيب از راه دور
كنترل اتصال به شبكه
كنترل مسيريابي

اسلاید 19 :

كنترل دسترسي به سيستم عامل
كنترل دسترسي به برنامه هاي كاربردي
رويه هاي دستيابي امن كاربر
شناسايي و تأييد هويت كاربر
سيستم مديريت رمز عبور
انقضاي زماني پايانه كاري
استفاده از امكانات ابزاري سيستم
محدوديت زمان اتصال
محدوديت دسترسي به اطلاعات
جداسازي اطلاعات حساس

اسلاید 20 :

هدف : تضمين امنيت اطلاعات در زمان كار از راه دور

خط مشی برای حفاطت محاسبه و ارتباط راه دور
ايجاد وپياده سازی خط مشی برای كار از راه دور
محاسبه سيار و کار از راه دور