جستجو کردن 

راه های ایجاد یک سیستم مدیریت امنیت اطلاعات در شرکت های منطقه دونتسک. سیستم مدیریت امنیت اطلاعات

واقعاً ناجور است. ما در مورد انتشار قریب الوقوع استاندارد ISO 45001 که باید جایگزین استاندارد مدیریت ایمنی و بهداشت شغلی فعلی OHSAS 18001 شود، گزارش دادیم و گفتیم که باید در پایان سال 2016 منتظر آن باشیم... تقریباً نیمه شب است و هنوز هیچ نشانی از آن وجود ندارد. هرمان زمان آن فرا رسیده است که اعتراف کنیم که ISO 45001 به تأخیر افتاده است. درست است، با توجه به دلایل خوب. جامعه کارشناسان از او سؤالات زیادی داشتند. […]

  • مقاله دوگانه در راه است. سازمان بین المللیاستانداردسازی به وضوح موضع خود را در مورد استفاده از علامت های استاندارد خود بر روی محصولات بیان کرده است - ISO می گوید "نه". با این حال، کارآفرینان هنوز هم می خواهند این کار را انجام دهند. چگونه باید باشند؟ چرا نه، دقیقا؟ پیشینه سوال به شرح زیر است. همانطور که می دانید، استانداردهای ISO به طور مستقیم با محصولات تولید شده توسط شرکت های دارای گواهینامه مرتبط نیستند. […]

  • بیایید تاپیک را تمام کنیم. در آخرین مقاله، صحبتی را در مورد هشت اصل یک QMS آغاز کردیم. اصولی که هر سیستم مدیریت کیفیت بر اساس آنها ساخته شده است. هدف ما این است که این اصول را از زبان مربیان تجاری به زبان انسانی ترجمه کنیم. تا بتوان از آنها سود واقعی گرفت. در مورد مشتری مداری صحبت کردیم. آنها در مورد چگونگی تولید نه "چیزی [...]

  • بسیاری از مردم در مورد مدیریت کیفیت صحبت می کنند. اما به دلایلی طوری می گویند که در نهایت هیچ چیز مشخص نیست. این بدان معنی است که مدیریت کیفیت در حد کلمات باقی می ماند. خیلی زیاد با کلمات زیرکانه. بیایید آنها را به زبان عادی ترجمه کنیم و درک کنیم که چگونه اصول مدیریت کیفیت واقعاً به بهبود فعالیت های شرکت کمک می کند. بیایید بدون پیش درآمدهای طولانی انجام دهیم. در مجموع، سیستم های مدیریت کیفیت مرتبط در حال حاضر، که محبوب ترین آنها [...]

  • مدیریت پروژه... من مطمئن هستم که افراد زیادی هستند که مدت زیادی را صرف برقراری ارتباط با انواع مشاوران تجاری کرده اند - و اکنون فقط با شنیدن چنین عبارتی کمی حالت تهوع ایجاد می شود. چه باید کرد؟ بیایید فقط مشاوران تجاری را از سر خود بیرون کنیم و موضوع را به زبان انسانی بیان کنیم. مدیریت پروژه لزوماً فردی با پیراهن سفید نیست که نمودارها و فلوچارت های پیچیده را با نشانگر ترسیم کند […]

    • (SMIB)- اون قسمت سیستم مشترکمدیریت که مبتنی بر رویکرد ریسک تجاری برای ایجاد، اجرا، بهره برداری، نظارت، تجزیه و تحلیل، پشتیبانی و بهبود است امنیت اطلاعات.

    اگر مطابق با الزامات ISO/IEC_27001 ساخته شده باشد، بر اساس مدل PDCA است:

      طرح(برنامه ریزی) - مرحله ایجاد ISMS، ایجاد فهرستی از دارایی ها، ارزیابی ریسک ها و انتخاب اقدامات.
      انجام دادن(عمل) - مرحله اجرا و اجرای اقدامات مناسب.
      بررسی(تأیید) - مرحله ارزیابی اثربخشی و عملکرد ISMS. معمولا توسط حسابرسان داخلی انجام می شود.
      عمل کنید(بهبودها) - اجرای اقدامات پیشگیرانه و اصلاحی؛

    مفهوم امنیت اطلاعات

    استاندارد ISO 27001 امنیت اطلاعات را چنین تعریف می کند: «حفظ محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات. علاوه بر این، ویژگی‌های دیگری مانند اصالت، عدم انکار و قابلیت اطمینان نیز ممکن است شامل شود.

    محرمانه بودن - اطمینان از اینکه اطلاعات فقط برای کسانی که دارای اختیارات مناسب هستند (کاربران مجاز) قابل دسترسی است.

    تمامیت - اطمینان از صحت و کامل بودن اطلاعات و همچنین روش های پردازش آن.

    دسترسی - ارائه دسترسی به اطلاعات برای کاربران مجاز در صورت لزوم (در صورت تقاضا).

    4 سیستم مدیریت امنیت اطلاعات

    4.1 الزامات کلی

    سازمان باید مفاد ISMS مستند را در سراسر فعالیت های تجاری سازمان و خطراتی که با آن مواجه است ایجاد، اجرا، استفاده، نظارت، بررسی، نگهداری و بهبود بخشد. برای مزایای عملی این استاندارد بین المللی، فرآیند استفاده شده بر اساس مدل PDCA است که در شکل 1 نشان داده شده است. 1.

    4.2 ایجاد و مدیریت یک ISMS

    4.2.1 ایجاد یک ISMS

    سازمان باید موارد زیر را انجام دهد.

    الف) با در نظر گرفتن ویژگی های فعالیت های سازمان، خود سازمان، مکان، دارایی ها و فناوری آن، محدوده و مرزهای ISMS، از جمله جزئیات و توجیه حذف هر گونه مفاد سند از پیش نویس ISMS را تعیین می کند (نگاه کنید به 1.2). ).

    ب) با در نظر گرفتن ویژگی های فعالیت های سازمان، خود سازمان، موقعیت مکانی، دارایی ها و فناوری آن، خط مشی ISMS را تدوین می کند که:

    1) شامل سیستمی برای تعیین اهداف (وظایف) است و جهت کلی مدیریت و اصول عمل در مورد امنیت اطلاعات را تعیین می کند.

    2) الزامات تجاری و قانونی یا نظارتی، تعهدات امنیتی قراردادی را در نظر می گیرد.

    3) به محیط مدیریت ریسک استراتژیک که در آن ایجاد و نگهداری ISMS انجام می شود، متصل است.

    4) معیارهایی را تعیین می کند که ریسک توسط آنها ارزیابی می شود (به 4.2.1 ج) مراجعه کنید. و

    5) تایید شده توسط مدیریت

    توجه: برای اهداف این استاندارد بین المللی، یک خط مشی ISMS به عنوان مجموعه گسترده ای از سیاست های امنیت اطلاعات در نظر گرفته می شود. این سیاست ها را می توان در یک سند توصیف کرد.

    ج) ایجاد مفهومی برای ارزیابی ریسک در سازمان.

    1) روش ارزیابی ریسک را که با ISMS و امنیت اطلاعات تجاری، الزامات قانونی و مقرراتی تثبیت شده مطابقت دارد، تعیین کنید.

    2) معیارهای پذیرش ریسک را ایجاد کنید و سطوح قابل قبول ریسک را تعیین کنید (به 5.1f مراجعه کنید).

    روش ارزیابی ریسک انتخاب شده باید اطمینان حاصل کند که ارزیابی ریسک نتایج قابل مقایسه و تکرارپذیری تولید می کند.

    توجه: روش های ارزیابی ریسک متفاوتی وجود دارد. نمونه‌هایی از روش‌های ارزیابی ریسک در MOS/IEC TU 13335-3 مورد بحث قرار گرفته‌اند. فناوری اطلاعات - توصیه هایی برای مدیریتآی تیامنیت - روش های مدیریتآی تیامنیت.

    د) خطرات را شناسایی کنید.

    1) شناسایی دارایی ها در چارچوب مفاد ISMS و مالکان 2 (2 اصطلاح "مالک" با فرد یا نهادی مشخص می شود که مسئولیت کنترل تولید، توسعه را بر عهده دارد، نگهداری، برنامه ها و امنیت دارایی ها. اصطلاح "مالک" به این معنا نیست که شخص واقعاً دارای حق مالکیتی بر دارایی است.

    2) خطرات این دارایی ها را شناسایی کنید.

    3) آسیب پذیری های سیستم امنیتی را شناسایی کنید.

    4) شناسایی اثراتی که محرمانه بودن، یکپارچگی و در دسترس بودن دارایی ها را از بین می برد.

    ه) تجزیه و تحلیل و ارزیابی خطرات.

    1) ارزیابی آسیب به کسب و کار سازمان که ممکن است به دلیل خرابی سیستم امنیتی و همچنین نتیجه نقض محرمانه بودن، یکپارچگی یا در دسترس بودن دارایی ها باشد.

    2) احتمال خرابی سیستم امنیتی را با توجه به خطرات و آسیب‌پذیری‌های رایج، تأثیرات دارایی‌ها و کنترل‌های فعلی اجرا شده تعیین کنید.

    3) سطوح ریسک را ارزیابی کنید.

    4) با استفاده از معیارهای پذیرش ریسک که در 4.2.1c)2 تعیین شده است، قابل قبول بودن ریسک را تعیین کنید، یا کاهش آن را الزامی کنید.

    و) ابزارهای کاهش ریسک را شناسایی و ارزیابی کنید.

    اقدامات ممکن عبارتند از:

    1) اعمال کنترل های مناسب.

    2) پذیرش آگاهانه و عینی خطرات، اطمینان از انطباق بی قید و شرط آنها با الزامات خط مشی سازمان و معیارهای پذیرش ریسک (به 4.2.1c)2 مراجعه کنید).

    3) اجتناب از خطر؛ و

    4) انتقال ریسک های تجاری مربوطه به طرف دیگری، به عنوان مثال، شرکت های بیمه، تامین کنندگان.

    ز) اهداف و کنترل ها را برای کاهش خطرات انتخاب کنید.

    اهداف و کنترل ها باید مطابق با الزامات تعیین شده توسط فرآیند ارزیابی ریسک و کاهش ریسک انتخاب و اجرا شوند. این انتخاب باید هم معیارهای تحمل ریسک (نگاه کنید به 4.2.1c)2) و هم الزامات قانونی، مقرراتی و قراردادی را در نظر بگیرد.

    وظایف و کنترل های ضمیمه A باید به عنوان بخشی از این فرآیند انتخاب شوند تا نیازهای مشخص شده را برآورده کنند.

    از آنجایی که همه وظایف و کنترل‌ها در پیوست A فهرست نشده‌اند، ممکن است موارد اضافی انتخاب شوند.

    توجه: ضمیمه A شامل فهرستی جامع از اهداف مدیریتی است که به عنوان مرتبط ترین با سازمان ها شناسایی شده اند. تا حتی یک مورد را از دست ندهید نکته مهمبرای گزینه های کنترل، کاربران این استاندارد بین المللی باید به پیوست A به عنوان نقطه شروع برای کنترل نمونه تکیه کنند.

    ح) کسب تاییدیه برای مدیریت ریسک های باقیمانده پیش بینی شده.

    4) تشخيص وقايع امنيتي را تسهيل كرده و در نتيجه با استفاده از شاخص‌هاي خاص از حوادث امنيتي جلوگيري مي‌كند. و

    5) تعیین اثربخشی اقدامات انجام شده برای جلوگیری از نقض امنیت.

    ب) بررسی منظم اثربخشی ISMS (شامل بحث در مورد خط مشی ISMS و اهداف آن، بررسی کنترل های امنیتی)، با در نظر گرفتن نتایج ممیزی ها، حوادث، نتایج اندازه گیری عملکرد، پیشنهادات و توصیه های همه طرف های ذینفع. .

    ج) ارزیابی اثربخشی کنترل ها برای تعیین اینکه آیا الزامات ایمنی برآورده شده است یا خیر.

    د) ارزیابی ریسک برای دوره های برنامه ریزی شده و بررسی ریسک های باقیمانده و سطوح مجازخطرات، با در نظر گرفتن تغییرات در:

    1) سازمان ها؛

    2) تکنولوژی؛

    3) اهداف و فرآیندهای تجاری؛

    4) تهدیدات شناسایی شده

    5) اثربخشی کنترل های اجرا شده؛ و

    6) رویدادهای بیرونی، مانند تغییرات در محیط حقوقی و مدیریتی، تغییر تعهدات قراردادی، تغییر در فضای اجتماعی.

    ه) انجام ممیزی داخلی ISMS در دوره های برنامه ریزی شده (نگاه کنید به 6)

    توجه: ممیزی های داخلی، که گاهی اوقات ممیزی اولیه نامیده می شود، از طرف خود سازمان برای اهداف خود انجام می شود.

    و) مدیریت ISMS را به طور منظم بررسی کنید تا اطمینان حاصل شود که این ماده مناسب باقی می ماند و ISMS در حال بهبود است.

    ز) به روز رسانی طرح های امنیتی بر اساس داده های به دست آمده از نظارت و ممیزی.

    ح) ثبت فعالیت ها و رویدادهایی که ممکن است بر اثربخشی یا عملکرد ISMS تأثیر بگذارد (به 4.3.3 مراجعه کنید).

    4.2.4 پشتیبانی و بهبود ISMS

    سازمان باید به طور مستمر موارد زیر را انجام دهد.

    الف) اصلاحات خاصی را در ISMS اعمال کنید.

    ب) اقدامات اصلاحی و پیشگیرانه مناسب مطابق با بند 8.2 و 8.3 انجام شود. استفاده از دانش انباشته شده توسط خود سازمان و به دست آمده از تجربیات سایر سازمان ها.

    ج) اقدامات و بهبودهای خود را با سطح جزییات متناسب با موقعیت به همه طرف های ذینفع ابلاغ کند. و بر این اساس، اقدامات خود را هماهنگ کنند.

    د) اطمینان حاصل شود که بهبودها به هدف مورد نظر خود می رسند.

    4.3 مدارک مورد نیاز

    4.3.1 کلی

    اسناد باید شامل پروتکل ها (سوابق) باشد. تصمیمات مدیریتی، متقاعد شود که نیاز به اقدام توسط تصمیمات و سیاست های مدیریت تعیین می شود. و از تکرارپذیری نتایج ثبت شده اطمینان حاصل کنید.

    مهم این است که بتوانیم نشان دهیم بازخوردکنترل های انتخاب شده با نتایج ارزیابی ریسک و فرآیندهای کاهش ریسک و سپس با سیاست ISMS و اهداف آن.

    اسناد ISMS باید شامل موارد زیر باشد:

    الف) بیانیه های مستند خط مشی و اهداف ISMS (به 4.2.1b مراجعه کنید)؛

    ب) موقعیت ISMS (به 4.2.1a مراجعه کنید).

    ج) مفهوم و کنترل های پشتیبانی از ISMS.

    د) شرح روش ارزیابی ریسک (نگاه کنید به 4.2.1c)).

    ه) گزارش ارزیابی ریسک (نگاه کنید به 4.2.1c) - 4.2.1g)).

    و) طرح کاهش ریسک (به 4.2.2b مراجعه کنید).

    ز) یک مفهوم مستند، سازماندهی لازمبرای اطمینان از اثربخشی برنامه‌ریزی، عملیات و مدیریت فرآیندهای امنیت اطلاعات خود و توصیف نحوه اندازه‌گیری اثربخشی کنترل‌ها (به 4.2.3c مراجعه کنید).

    ح) مدارک مورد نیاز این استاندارد بین المللی (نگاه کنید به 4.3.3). و

    i) بیانیه کاربرد.

    یادآوری 1: برای اهداف این استاندارد بین‌المللی، اصطلاح «مفهوم مستند» به این معناست که این مفهوم اجرا، مستند، اجرا و دنبال می‌شود.

    توجه 2: اندازه اسناد ISMS در سازمان های مختلف ممکن است بسته به موارد زیر متفاوت باشد:

    اندازه سازمان و نوع دارایی های آن؛ و

    مقیاس و پیچیدگی الزامات امنیتی و سیستم مدیریت شده.

    نکته 3: اسناد و گزارشات ممکن است به هر شکلی ارائه شود.

    4.3.2 کنترل اسناد

    اسناد مورد نیاز ISMS باید محافظت و تنظیم شوند. لازم است روال مستندسازی لازم برای توصیف اقدامات مدیریتی برای موارد زیر تصویب شود:

    الف) تعیین انطباق اسناد با استانداردهای خاص قبل از انتشار آنها.

    ب) بررسی و به روز رسانی اسناد در صورت لزوم، تأیید مجدد اسناد.

    ج) حصول اطمینان از اینکه تغییرات مطابق با وضعیت فعلی اسناد تجدید نظر شده است.

    د) اطمینان از در دسترس بودن نسخه های مهم اسناد جاری؛

    ه) اطمینان از قابل فهم بودن و خواندن اسناد؛

    و) اطمینان از دسترسی به اسناد برای کسانی که به آنها نیاز دارند. و همچنین انتقال، ذخیره و در نهایت تخریب آنها بر اساس رویه های اعمال شده بسته به طبقه بندی آنها.

    ز) احراز اصالت اسناد از منابع خارجی.

    ح) کنترل توزیع اسناد.

    ط) جلوگیری از استفاده ناخواسته از اسناد منسوخ. و

    ی) استفاده از روش مناسب برای شناسایی در صورت نگهداری آنها.

    4.3.3 کنترل سوابق

    سوابق باید ایجاد و نگهداری شود تا از انطباق با الزامات و عملکرد مؤثر ISMS اطمینان حاصل شود. سوابق باید محافظت و تأیید شوند. ISMS باید هرگونه الزامات قانونی و مقرراتی و تعهدات قراردادی را در نظر بگیرد. سوابق باید قابل درک، به راحتی قابل شناسایی و بازیابی باشند. کنترل‌های لازم برای شناسایی، ذخیره‌سازی، حفاظت، بازیابی، دوره نگهداری و از بین بردن سوابق باید مستند شده و در محل قرار گیرند.

    سوابق باید شامل اطلاعاتی در مورد اجرای فعالیت های شرح داده شده در 4.2 و در مورد همه حوادث و حوادث ایمنی مهم مربوط به ISMS باشد.

    نمونه‌هایی از سوابق شامل کتاب مهمان، گزارش حسابرسی و فرم‌های مجوز دسترسی تکمیل شده است.

    استاندارد BS ISO/IEC 27001:2005 یک مدل سیستم مدیریت امنیت اطلاعات (ISMS) را توصیف می کند و مجموعه ای از الزامات را برای سازماندهی امنیت اطلاعات در یک شرکت بدون ارجاع به روش های پیاده سازی انتخاب شده توسط مجریان سازمان ارائه می دهد.

    بررسی - مرحله ارزیابی اثربخشی و عملکرد ISMS. معمولا توسط حسابرسان داخلی انجام می شود.

    تصمیم برای ایجاد (و متعاقباً تأیید) یک ISMS توسط مدیریت ارشد سازمان گرفته می شود. این نشان دهنده پشتیبانی مدیریت و تأیید ارزش ISMS برای کسب و کار است. مدیریت سازمان ایجاد یک گروه برنامه ریزی ISMS را آغاز می کند.

    گروه مسئول برنامه ریزی ISMS باید شامل موارد زیر باشد:

    · نمایندگان مدیریت عالی سازمان؛

    · نمایندگان واحدهای تجاری تحت پوشش ISMS.



    · متخصصان بخش امنیت اطلاعات؛

    · مشاوران شخص ثالث (در صورت لزوم).

    کمیته IS از عملکرد ISMS و بهبود مستمر آن پشتیبانی می کند.

    گروه کاریباید بر اساس چارچوب نظارتی و روش شناختی، هم در رابطه با ایجاد ISMS و هم مرتبط با حوزه فعالیت سازمان، و البته، سیستم کلی قوانین ایالتی هدایت شود.

    پایه هنجاریدر ایجاد ISMS:

    · واژگان و تعاریف ISO/IEC 27000:2009.

    · ISO/IEC 27001:2005 الزامات عمومی برای ISMS.

    ISO/IEC 27002:2005 راهنمای عملیدر مورد مدیریت امنیت اطلاعات

    · راهنمای عملی ISO/IEC 27003:2010 برای اجرای ISMS.

    · معیارهای (اندازه گیری) امنیت اطلاعات ISO/IEC 27004:2009.

    · راهنمای ISO/IEC 27005:2011 برای مدیریت ریسک امنیت اطلاعات.

    · راهنمای ISO/IEC 73:2002، مدیریت ریسک - واژگان - راهنمای استفاده در استانداردها.

    · ISO/IEC 13335-1:2004، فناوری اطلاعات - تکنیک های امنیتی - مدیریت امنیت فناوری اطلاعات و ارتباطات - قسمت 1: مفاهیم و مدل های مدیریت امنیت فناوری اطلاعات و ارتباطات.

    · ISO/IEC TR 18044 فناوری اطلاعات - تکنیک های امنیتی - مدیریت حوادث امنیت اطلاعات.

    · دستورالعمل ISO/IEC 19011:2002 برای حسابرسی سیستم های مدیریت کیفیت و/یا محیط زیست.

    · مجموعه روش های موسسه استاندارد بریتانیا برای ایجاد یک ISMS (قبلاً: اسناد سری PD 3000).

    فرآیند ایجاد یک ISMS شامل 4 مرحله است:

    مرحله ی 1. برنامه ریزی ISMS

    ایجاد خط مشی ها، اهداف، فرآیندها و رویه های مرتبط با مدیریت ریسک و امنیت اطلاعات مطابق با سیاست ها و اهداف کلی سازمان.

    الف) تعریف محدوده و مرزهای ISMS:

    · شرح نوع فعالیت و اهداف تجاری سازمان;

    · نشان دادن مرزهای سیستم های تحت پوشش ISMS.

    شرح دارایی های سازمان (انواع منابع اطلاعات، نرم افزار و سخت افزار، پرسنل و ساختار سازمانی).

    · شرح فرآیندهای تجاری که از اطلاعات محافظت شده استفاده می کنند.

    شرح مرزهای سیستم شامل:

    شرح ساختار موجود سازمان (با تغییرات احتمالیکه ممکن است در ارتباط با توسعه یک سیستم اطلاعاتی ایجاد شود).

    منابع سیستم اطلاعاتی که باید محافظت شوند ( مهندسی رایانه، اطلاعات، سیستم و نرم افزار کاربردی). برای ارزیابی آنها باید یک سیستم از معیارها و یک روش برای به دست آوردن ارزیابی بر اساس این معیارها (دسته بندی) انتخاب شود.

    فناوری پردازش اطلاعات و مشکلاتی که باید حل شوند. برای حل وظایف، مدل های پردازش اطلاعات باید از نظر منابع ساخته شوند.

    نمودار سیستم اطلاعاتی سازمان و زیرساخت پشتیبانی.

    به عنوان یک قاعده، در این مرحله، سندی تنظیم می شود که مرزهای سیستم اطلاعاتی را مشخص می کند، منابع اطلاعاتی شرکت را که باید محافظت شوند فهرست می کند و سیستمی از معیارها و روش ها را برای ارزیابی ارزش ارائه می دهد. دارایی های اطلاعاتیشرکت ها

    ب) تعریف خط مشی ISMS سازمان (نسخه توسعه یافته SDS).

    · اهداف، دستورالعمل ها و اصول فعالیت در مورد امنیت اطلاعات.

    · تشریح استراتژی (رویکردها) مدیریت ریسک در سازمان، ساختاردهی اقدامات متقابل برای حفاظت از اطلاعات بر حسب نوع (قانونی، سازمانی، سخت افزاری و نرم افزاری، مهندسی).

    · شرح معیارهای اهمیت ریسک.

    · سمت مدیریت، تعیین دفعات جلسات در مورد موضوعات امنیت اطلاعات در سطح مدیریت، از جمله بررسی دوره ای مفاد خط مشی امنیت اطلاعات و همچنین نحوه آموزش کلیه دسته های کاربران سیستم اطلاعاتی در مورد امنیت اطلاعات. مسائل

    ج) رویکرد ارزیابی ریسک در سازمان را تعیین کنید.

    روش ارزیابی ریسک بسته به ISMS ایجاد شده انتخاب می شود نیازمندی های کسب و کارحفاظت از اطلاعات، الزامات قانونی و مقرراتی.

    انتخاب روش ارزیابی ریسک به سطح الزامات رژیم امنیت اطلاعات در سازمان، ماهیت تهدیدات در نظر گرفته شده (طیف تأثیر تهدیدات) و اثربخشی اقدامات متقابل بالقوه برای محافظت از اطلاعات بستگی دارد. به طور خاص، الزامات اساسی و همچنین افزایش یا کامل برای رژیم امنیت اطلاعات وجود دارد.

    حداقل الزامات حالت امنیت اطلاعات با سطح پایه امنیت اطلاعات مطابقت دارد. چنین الزاماتی، به عنوان یک قاعده، برای راه حل های طراحی استاندارد اعمال می شود. تعدادی استاندارد و مشخصات وجود دارد که حداقل (معمولی) مجموعه ای از محتمل ترین تهدیدها را در نظر می گیرد، مانند: ویروس ها، خرابی های سخت افزاری، دسترسی غیرمجازبرای خنثی کردن این تهدیدها، بدون توجه به احتمال اجرای آنها و آسیب پذیری منابع، باید اقدامات متقابل انجام داد. بنابراین لازم نیست ویژگی های تهدیدات را در سطح پایه در نظر بگیریم. استانداردهای خارجی در این زمینه ISO 27002، BSI، NIST و ... می باشد.

    در مواردی که نقض رژیم امنیت اطلاعات منجر به عواقب جدی شود، افزایش الزامات اضافی اعمال می شود.

    برای تدوین الزامات افزایش یافته اضافی، لازم است:

    تعیین ارزش منابع؛

    فهرستی از تهدیدات مربوط به سیستم اطلاعاتی مورد مطالعه را به مجموعه استاندارد اضافه کنید.

    ارزیابی احتمال تهدید؛

    شناسایی آسیب پذیری های منابع؛

    آسیب احتمالی ناشی از نفوذ متجاوزان را ارزیابی کنید.

    انتخاب یک روش ارزیابی ریسک که بتواند با حداقل تغییرات به طور مداوم مورد استفاده قرار گیرد، ضروری است. دو راه وجود دارد: از روش‌ها و ابزارهای موجود در بازار برای ارزیابی ریسک استفاده کنید یا روش‌شناسی خود را ایجاد کنید که با ویژگی‌های شرکت و حوزه فعالیت تحت پوشش ISMS سازگار باشد.

    آخرین گزینه ارجح ترین است، زیرا تاکنون اکثر محصولات موجود در بازار که یک یا آن تکنیک تحلیل ریسک را اجرا می کنند، الزامات استاندارد را برآورده نمی کنند. معایب معمول چنین روش هایی عبارتند از:

    · مجموعه استانداردی از تهدیدها و آسیب پذیری ها که اغلب قابل تغییر نیستند.

    · پذیرش به عنوان دارایی فقط نرم افزار، سخت افزار و منابع اطلاعاتی - بدون ملاحظه منابع انسانیخدمات و سایر منابع مهم؛

    · پیچیدگی کلی تکنیک از نظر استفاده پایدار و مکرر آن.

    · معیارهای پذیرش ریسک و سطوح قابل قبول ریسک (باید بر اساس دستیابی به اهداف استراتژیک، سازمانی و مدیریتی سازمان باشد).

    د) شناسایی ریسک.

    · شناسایی دارایی ها و صاحبان آنها

    ورودی های اطلاعات؛

    خروجی اطلاعات؛

    سوابق اطلاعاتی؛

    منابع: افراد، زیرساخت ها، تجهیزات، نرم افزار، ابزار، خدمات.

    · شناسایی تهدید (استانداردهای ارزیابی ریسک اغلب کلاس هایی از تهدیدات را پیشنهاد می کنند که می توانند تکمیل و گسترش یابند).

    · شناسایی آسیب پذیری (همچنین لیستی از رایج ترین آسیب پذیری ها وجود دارد که می توانید هنگام تجزیه و تحلیل سازمان خود به آنها اعتماد کنید).

    تعیین ارزش دارایی ها ( عواقب احتمالیاز دست دادن محرمانه بودن، یکپارچگی و در دسترس بودن دارایی ها). اطلاعات مربوط به ارزش یک دارایی را می توان از مالک آن یا از شخصی که مالک تمام اختیارات دارایی، از جمله تضمین امنیت آن را به او تفویض کرده است، دریافت کرد.

    ه) ارزیابی ریسک.

    · ارزیابی خسارتی که ممکن است به دلیل از دست دادن محرمانه بودن، یکپارچگی و در دسترس بودن دارایی ها به یک کسب و کار وارد شود.

    · ارزیابی احتمال تحقق تهدیدها از طریق آسیب پذیری های موجود، با در نظر گرفتن کنترل های امنیتی اطلاعات موجود و ارزیابی آسیب های احتمالی ناشی از آن.

    · تعیین سطح ریسک.

    بکارگیری معیارهای پذیرش ریسک (قابل قبول/نیاز به درمان).

    و) درمان ریسک (مطابق با استراتژی مدیریت ریسک انتخاب شده).

    اقدامات ممکن:

    اقدامات غیرفعال:

    پذیرش ریسک (تصمیم در مورد قابل قبول بودن سطح ریسک حاصل)؛

    اجتناب از ریسک (تصمیم برای تغییر فعالیت هایی که باعث ایجاد سطح معینی از خطر می شوند - انتقال وب سرور به خارج از مرزها شبکه محلی);

    اقدامات فعال:

    کاهش ریسک (با استفاده از اقدامات متقابل سازمانی و فنی)؛

    انتقال ریسک (بیمه (آتش سوزی، سرقت، خطاهای نرم افزاری)).

    انتخاب اقدامات ممکن به معیارهای ریسک پذیرفته شده بستگی دارد (سطح قابل قبولی از ریسک مشخص شده است، سطوح ریسکی که می توان با کنترل های امنیت اطلاعات کاهش داد، سطوح ریسکی که در آن توصیه می شود نوع فعالیتی که باعث آن می شود کنار گذاشته شود یا تغییر داده شود، و خطراتی که انتقال آن به سایر طرفین مطلوب است).

    ز) انتخاب اهداف و کنترل ها برای درمان خطر.

    اهداف و کنترل ها باید استراتژی مدیریت ریسک را اجرا کنند، معیارهای پذیرش ریسک و الزامات قانونی، نظارتی و سایر موارد را در نظر بگیرند.

    استاندارد ISO 27001-2005 فهرستی از اهداف و کنترل ها را به عنوان مبنایی برای ایجاد طرح درمان ریسک (الزامات ISMS) ارائه می کند.

    طرح درمان ریسک شامل فهرستی از اقدامات اولویت دار برای کاهش سطوح خطر است که نشان می دهد:

    · افراد مسئول اجرای این فعالیت ها و وسایل؛

    · زمان اجرای فعالیت ها و اولویت های اجرای آنها.

    · منابع برای اجرای چنین فعالیتهایی.

    · سطوح ریسک های باقیمانده پس از اجرای اقدامات و کنترل ها.

    اتخاذ طرح درمان ریسک و کنترل بر اجرای آن توسط مدیریت عالی سازمان انجام می شود. تکمیل فعالیت های کلیدی طرح، معیاری برای تصمیم گیری در مورد راه اندازی ISMS است.

    در این مرحله، انتخاب انواع اقدامات متقابل برای امنیت اطلاعات، با توجه به سطوح نظارتی، سازمانی، مدیریتی، فناوری و سخت افزاری-نرم افزاری امنیت اطلاعات، توجیه می شود. (بعلاوه، مجموعه ای از اقدامات متقابل مطابق با استراتژی مدیریت ریسک اطلاعات انتخاب شده اجرا می شود). در نسخه کامل تحلیل ریسک، اثربخشی اقدامات متقابل برای هر ریسک نیز ارزیابی می‌شود.

    ح) تایید مدیریت ریسک باقیمانده پیشنهادی.

    ط) اخذ تاییدیه مدیریت برای اجرا و راه اندازی ISMS.

    ی) بیانیه کاربرد (مطابق با ISO 27001-2005).

    تاریخ راه اندازی ISMS، تاریخ تصویب آیین نامه اعمال کنترل ها توسط مدیریت ارشد شرکت است که اهداف و ابزارهای انتخاب شده توسط سازمان برای مدیریت ریسک ها را شرح می دهد:

    · ابزارهای مدیریت و کنترل انتخاب شده در مرحله درمان ریسک.

    · ابزارهای مدیریت و کنترل موجود در سازمان.

    · به معنای اطمینان از انطباق با الزامات قانونی و الزامات سازمان های نظارتی.

    · به معنای اطمینان از برآورده شدن نیازهای مشتری؛

    · به معنای اطمینان از انطباق با الزامات عمومی شرکت.

    · هر گونه کنترل و کنترل مناسب دیگر.

    مرحله 2. پیاده سازی و بهره برداری از ISMS.

    برای پیاده سازی و اجرای سیاست ها، کنترل ها، فرآیندها و رویه های امنیت اطلاعات در حوزه امنیت اطلاعات اقدامات زیر انجام می شود:

    الف) توسعه یک طرح درمان ریسک (شرح کنترل های برنامه ریزی شده، منابع (نرم افزار، سخت افزار، پرسنل) مورد نیاز برای اجرای آنها، پشتیبانی، کنترل و مسئولیت های مدیریتی برای مدیریت ریسک امنیت اطلاعات (توسعه اسناد در مرحله برنامه ریزی، پشتیبانی از اهداف امنیت اطلاعات، تعریف نقش ها و مسئولیت ها، تضمین منابع لازمبرای ایجاد یک ISMS، حسابرسی و تجزیه و تحلیل).

    ب) تخصیص بودجه، نقش ها و مسئولیت ها برای اجرای طرح درمان ریسک.

    ج) اجرای کنترل های برنامه ریزی شده.

    د) تعیین شاخص های عملکرد کنترل (متریک ها) و روش هایی برای اندازه گیری آنها که نتایج قابل مقایسه و تکرار پذیری را ارائه دهد.

    هـ) ارتقاء صلاحیت و آگاهی پرسنل در زمینه امنیت اطلاعات متناسب با مسئولیت شغلی خود.

    و) مدیریت عملیات ISMS، مدیریت منابع برای حفظ، کنترل و بهبود ISMS.

    ز) اجرای رویه ها و سایر کنترل ها برای شناسایی سریع و پاسخگویی به حوادث امنیت اطلاعات.

    مرحله 3. نظارت و تجزیه و تحلیل مداوم عملکرد ISMS.

    این مرحله شامل ارزیابی یا اندازه گیری شاخص های کلیدی عملکرد فرآیند، تجزیه و تحلیل نتایج و ارائه گزارش به مدیریت برای تجزیه و تحلیل است و شامل:

    الف) انجام نظارت و تجزیه و تحلیل مداوم (به شما امکان می دهد تا به سرعت خطاها را در عملکرد ISMS شناسایی کنید، حوادث امنیتی را به سرعت شناسایی کنید و به آنها پاسخ دهید، نقش های پرسنل را متمایز کنید و سیستم های خودکاردر ISMS از طریق تجزیه و تحلیل از حوادث امنیتی جلوگیری کنید رفتار غیر معمولتعیین اثربخشی رسیدگی به حوادث امنیتی).

    ب) انجام بررسی های منظم از اثربخشی ISMS (انطباق با سیاست ها و اهداف ISMS، ممیزی ها، شاخص های کلیدیاثربخشی، پیشنهادات و واکنش های ذینفعان).

    ج) اندازه‌گیری اثربخشی کنترل‌ها برای تأیید برآورده شدن الزامات حفاظتی

    د) ارزیابی مجدد دوره ای ریسک ها، تجزیه و تحلیل ریسک های باقیمانده و تعیین سطوح ریسک قابل قبول برای هرگونه تغییر در سازمان (اهداف و فرآیندهای تجاری، تهدیدات شناسایی شده، آسیب پذیری های جدید شناسایی شده و غیره).

    ه) انجام دوره ای ممیزی داخلی ISMS.

    ممیزی ISMS - بررسی انطباق اقدامات متقابل انتخاب شده با اهداف و اهداف کسب و کار اعلام شده در خط مشی ایمنی صنعتی سازمان بر اساس نتایج آن، ریسک های باقیمانده ارزیابی شده و در صورت لزوم بهینه سازی آنها انجام می شود.

    و) بررسی منظم دامنه و روند ISMS توسط مدیریت.

    ز) به روز رسانی برنامه های مدیریت ریسک برای انعکاس نتایج کنترل ها و تحلیل ها.

    ح) نگهداری گزارش رویدادهایی که تأثیر داشته است تاثیر منفیدر مورد اثربخشی یا کیفیت کار ISMS.

    مرحله 4. پشتیبانی و بهبود ISMS.

    بر اساس نتایج ممیزی داخلی ISMS و تجزیه و تحلیل مدیریت، اقدامات اصلاحی و پیشگیرانه با هدف توسعه و اجراء شده است. پیشرفت مداوم ISMS:

    الف) بهبود سیاست امنیت اطلاعات، اهداف حفاظت از اطلاعات، انجام ممیزی، تجزیه و تحلیل رویدادهای مشاهده شده.

    ب) توسعه و اجرای اقدامات اصلاحی و پیشگیرانه برای رفع عدم انطباق ISMS با الزامات.

    ج) نظارت بر بهبودهای ISMS.

    نتیجه

    ISO 27001 یک مدل کلی برای پیاده سازی و بهره برداری از ISMS و همچنین فعالیت هایی برای نظارت و بهبود ISMS را توصیف می کند. ISO در نظر دارد استانداردهای مختلف سیستم مدیریت را هماهنگ کند، مانند ISO/IEC 9001:2000 که به مدیریت کیفیت می پردازد و ISO/IEC 14001:2004 که به سیستم های مدیریت محیطی می پردازد. هدف ISO اطمینان از سازگاری و یکپارچگی ISMS با سایر سیستم های مدیریتی در شرکت است. شباهت استانداردها امکان استفاده از ابزارها و عملکردهای مشابه را برای پیاده سازی، مدیریت، بازنگری، تأیید و صدور گواهینامه فراهم می کند. قابل درک است که اگر شرکتی استانداردهای مدیریت دیگری را پیاده سازی کرده باشد، می تواند از یک سیستم حسابرسی و مدیریت واحد استفاده کند که در مدیریت کیفیت، مدیریت زیست محیطی، مدیریت ایمنی و غیره قابل اجرا باشد. با پیاده‌سازی ISMS، مدیریت ارشد ابزاری برای نظارت و مدیریت امنیت دارد که ریسک‌های باقی‌مانده تجاری را کاهش می‌دهد. هنگامی که یک ISMS پیاده‌سازی شد، شرکت می‌تواند به طور رسمی امنیت اطلاعات را تضمین کند و به برآورده کردن الزامات مشتریان، قانون‌گذاری، تنظیم‌کننده‌ها و سهامداران ادامه دهد.

    شایان ذکر است که در قوانین فدراسیون روسیه سند GOST R ISO/IEC 27001-2006 وجود دارد که نسخه ترجمه شده استاندارد بین المللی ISO27001 است.

    کتابشناسی - فهرست کتب

    1. Korneev I.R., Belyaev A.V. امنیت اطلاعات سازمانی – سن پترزبورگ: BHV-Petersburg, 2003. – 752 p.

    2. بین المللی استاندارد ISO 27001

    (http://www.specon.ru/files/ISO27001.pdf) (تاریخ دسترسی: 05/23/12).

    3. استاندارد ملی فدراسیون روسیه GOST R ISO/IEC 27003 - "فناوری اطلاعات. روش های امنیتی. دستورالعمل ها برای اجرای یک سیستم مدیریت امنیت اطلاعات

    (http://niisokb.ru/news/documents/IDT%20ISO%20IEC%2027003-2011-09-14.pdf) (تاریخ دسترسی: 23/05/12).

    4. Skiba V.Yu.، Kurbatov V.A. راهنمای محافظت در برابر تهدیدات داخلی برای امنیت اطلاعات. سن پترزبورگ: پیتر، 2008. - 320 ص.

    سیستم مدیریت امنیت اطلاعات بخشی از سیستم مدیریت کلی است که بر اساس استفاده از روش های ارزیابی ریسک تجاری برای توسعه، اجرا، بهره برداری، نظارت، تجزیه و تحلیل، پشتیبانی و بهبود امنیت اطلاعات است.

    سیستم مدیریت شامل ساختار سازمانی، سیاست ها، برنامه ریزی فعالیت ها، توزیع مسئولیت ها، فعالیت های عملی، رویه ها، فرآیندها و منابع [GOST R ISO/IEC 27001-2006]

    استاندارد ISO 27001 الزامات یک سیستم مدیریت امنیت اطلاعات (ISMS) را تعریف می کند. الزامات استاندارد تا حدی انتزاعی است و به ویژگی های هیچ حوزه ای از فعالیت های شرکت وابسته نیست.

    توسعه سیستم های اطلاعاتی در اوایل دهه 90 منجر به نیاز به ایجاد استانداردی برای مدیریت امنیت شد. به درخواست دولت و صنعت بریتانیا، وزارت تجارت و صنعت بریتانیا یک روش ISMS را توسعه داده است.

    استاندارد اولیه BS 7799 با مجموعه ای از آزمایش ها و تنظیمات راه طولانی را پیموده است. مهمترین مرحله در "حرفه" او سال 2005 بود، زمانی که استاندارد ارزیابی یک ISMS در سطح بین المللی به رسمیت شناخته شد (یعنی سازگاری الزامات آن برای یک ISMS مدرن تایید شد). از آن لحظه به بعد، شرکت های پیشرو در سراسر جهان شروع به اجرای فعال استاندارد ISO 27001 و آماده سازی برای صدور گواهینامه کردند.

    ساختار ISMS

    ISMS مدرن یک سیستم مدیریت فرآیند گرا است که شامل اجزای سازمانی، اسنادی و سخت افزاری و نرم افزاری است. «دیدگاه‌های» زیر در مورد ISMS قابل تشخیص است: فرآیند، مستند و بلوغ.

    فرآیندهای ISMS مطابق با الزامات استاندارد ISO/IEC 27001:2005 ایجاد می شوند که بر اساس چرخه مدیریت Plan-Do-Check-Act است. مطابق با آن، چرخه حیات ISMS از چهار نوع فعالیت تشکیل شده است: ایجاد - اجرا و بهره برداری - نظارت و تجزیه و تحلیل - نگهداری و بهبود. فرآیندهای ISMS مستند تضمین می کند که تمام الزامات استاندارد 27001 برآورده شده است.

    مستندات ISMS شامل خط مشی ها، رویه های مستند، استانداردها و سوابق است و به دو بخش مستندات مدیریت ISMS و مستندات عملیاتی ISMS تقسیم می شود.

    مدل بالغ ISMS جزئیات مستندات در حال توسعه و میزان اتوماسیون فرآیندهای مدیریت و عملیات ISMS را تعیین می کند. مدل بلوغ CobiT در ارزیابی و برنامه ریزی استفاده می شود. برنامه بهبود بلوغ ISMS ترکیب و زمان بندی فعالیت ها را برای بهبود فرآیندهای مدیریت امنیت اطلاعات و مدیریت عملیات ابزارهای امنیت اطلاعات ارائه می دهد.

    این استاندارد کاربرد مدل PDCA (Plan-Do-Check-Act) را پیشنهاد می کند چرخه زندگی ISMS که شامل توسعه، اجرا، بهره برداری، کنترل، تجزیه و تحلیل، پشتیبانی و بهبود است (شکل 1).

    طرح - مرحله ایجاد یک ISMS، ایجاد فهرستی از دارایی ها، ارزیابی ریسک ها و انتخاب اقدامات.

    انجام (عمل) - مرحله اجرا و اجرای اقدامات مناسب.

    بررسی - مرحله ارزیابی اثربخشی و عملکرد ISMS. معمولا توسط حسابرسان داخلی انجام می شود.

    قانون - انجام اقدامات پیشگیرانه و اصلاحی.

    فرآیند ایجاد یک ISMS شامل 4 مرحله است:

    یک فرآیند برنامه ریزی که هدف آن شناسایی، تجزیه و تحلیل و طراحی راه هایی برای مدیریت خطرات امنیت اطلاعات است. هنگام ایجاد این فرآیند، باید روشی برای طبقه بندی دارایی های اطلاعاتی و ارزیابی رسمی ریسک ها بر اساس داده های مربوط به زیرساخت اطلاعاتیتهدیدات و آسیب پذیری ها وقتی صحبت از حسابرسی PCI DSS می شود، دو نوع دارایی اطلاعاتی با ارزش وجود دارد که سطوح مختلفی از اهمیت دارند: داده های دارنده کارت و داده های احراز هویت حیاتی.

    فرآیند اجرای روش‌های درمان ریسک برنامه‌ریزی‌شده، که روند راه‌اندازی یک فرآیند جدید امنیت اطلاعات یا ارتقای یک فرآیند موجود را توصیف می‌کند. باید توجه ویژه ای به توصیف نقش ها و مسئولیت ها و برنامه ریزی برای اجرا شود.

    فرآیند نظارت بر فرآیندهای ISMS عملکردی (شایان ذکر است که هم فرآیندهای ISMS و هم خود ISMS مشمول نظارت بر عملکرد هستند - از این گذشته، چهار فرآیند مدیریتی مجسمه‌های گرانیتی نیستند و خودشکوفایی برای آنها قابل اجرا است).

    فرآیند بهبود فرآیندهای ISMS مطابق با نتایج نظارت که امکان اجرای اقدامات اصلاحی و پیشگیرانه را فراهم می کند.

    GOST R ISO/IEC 27001-2006 " فناوری اطلاعات. روش ها و ابزارهای تضمین امنیت. سیستم های مدیریت امنیت اطلاعات الزامات"

    توسعه دهندگان استاندارد خاطرنشان می کنند که این استاندارد به عنوان الگویی برای توسعه، پیاده سازی، بهره برداری، نظارت، تجزیه و تحلیل، پشتیبانی و بهبود سیستم مدیریت امنیت اطلاعات (ISMS) تهیه شده است. ISMS (به انگلیسی - سیستم مدیریت امنیت اطلاعات؛ ISMS) به عنوان بخشی از سیستم مدیریت کلی، بر اساس استفاده از روش های ارزیابی ریسک تجاری برای توسعه، اجرا، بهره برداری، نظارت، تجزیه و تحلیل، پشتیبانی و بهبود امنیت اطلاعات تعریف می شود. یک سیستم مدیریت شامل ساختار سازمانی، سیاست ها، فعالیت های برنامه ریزی، مسئولیت ها، شیوه ها، رویه ها، فرآیندها و منابع است.

    این استاندارد استفاده از یک رویکرد فرآیندی را برای توسعه، اجرا، بهره برداری، نظارت، تجزیه و تحلیل، پشتیبانی و بهبود ISMS سازمان فرض می کند. این بر اساس مدل Plan - Do - Check - Act (PDCA) است که می‌تواند در ساختاربندی تمام فرآیندهای ISMS اعمال شود. در شکل شکل 4.4 نشان می دهد که چگونه یک ISMS، با استفاده از الزامات امنیت اطلاعات و انتظارات ذینفعان به عنوان ورودی، خروجی های امنیت اطلاعات را تولید می کند که آن الزامات و نتایج مورد انتظار را از طریق فعالیت ها و فرآیندهای مورد نیاز برآورده می کند.

    برنج. 4.4.

    در صحنه "توسعه سیستم مدیریت امنیت اطلاعات"سازمان باید موارد زیر را انجام دهد:

    • - تعیین محدوده و مرزهای ISMS؛
    • - تعیین خط مشی ISMS بر اساس ویژگی های کسب و کار، سازمان، محل آن، دارایی ها و فناوری ها؛
    • - تعیین رویکرد ارزیابی ریسک در سازمان؛
    • - شناسایی خطرات؛
    • - تجزیه و تحلیل و ارزیابی خطرات؛
    • - شناسایی و ارزیابی گزینه های مختلف درمان خطر؛
    • - انتخاب اهداف و اقدامات کنترلی برای درمان خطر؛
    • - اخذ تأییدیه مدیریت ریسک های باقیمانده برآورد شده؛
    • - کسب مجوز مدیریت برای پیاده سازی و اجرای ISMS؛
    • - یک بیانیه کاربردی تهیه کنید.

    صحنه " پیاده سازی و بهره برداری از سیستم مدیریت امنیت اطلاعات"پیشنهاد می کند که سازمان باید:

    • - ایجاد یک طرح درمان ریسک که اقدامات مدیریتی مناسب، منابع، مسئولیت ها و اولویت ها را در رابطه با مدیریت ریسک امنیت اطلاعات تعریف می کند.
    • - اجرای طرح درمان ریسک برای دستیابی به اهداف مدیریتی مورد نظر، از جمله مسائل مالی، و همچنین توزیع وظایف و مسئولیت ها؛
    • - اجرای اقدامات مدیریتی انتخاب شده؛
    • - تعیین چگونگی اندازه گیری اثربخشی اقدامات مدیریتی انتخاب شده؛
    • - اجرای برنامه های آموزشی و توسعه حرفه ای برای کارکنان؛
    • - مدیریت کار ISMS؛
    • - مدیریت منابع ISMS؛
    • - اجرای رویه ها و سایر اقدامات مدیریتی برای اطمینان از تشخیص سریع رویدادهای امنیت اطلاعات و پاسخ به حوادث مربوط به امنیت اطلاعات.

    مرحله سوم" انجام نظارت و تحلیل سیستم مدیریت امنیت اطلاعات"نیاز دارد:

    • - اجرای روش های نظارت و تجزیه و تحلیل؛
    • - انجام تجزیه و تحلیل منظم از اثربخشی ISMS؛
    • - اندازه گیری اثربخشی اقدامات کنترلی برای تأیید انطباق با الزامات امنیت اطلاعات؛
    • - بررسی ارزیابی ریسک در دوره های زمانی تعیین شده، تجزیه و تحلیل ریسک های باقیمانده و سطوح ریسک قابل قبول تعیین شده، با در نظر گرفتن تغییرات.
    • - انجام ممیزی داخلی ISMS در بازه های زمانی مشخص؛
    • - به طور منظم تجزیه و تحلیل ISMS را توسط مدیریت سازمان به منظور تأیید کفایت سیستم عملکرد و تعیین زمینه های بهبود انجام دهید.
    • - به روز رسانی برنامه های امنیت اطلاعات با در نظر گرفتن نتایج تجزیه و تحلیل و نظارت؛
    • - ثبت اقدامات و رویدادهایی که ممکن است بر اثربخشی یا عملکرد ISMS تأثیر بگذارد.

    و در نهایت صحنه "پشتیبانی و بهبود سیستم مدیریت امنیت اطلاعات"پیشنهاد می کند که سازمان باید به طور منظم فعالیت های زیر را انجام دهد:

    • - شناسایی فرصت ها برای بهبود ISMS.
    • - اقدامات اصلاحی و پیشگیرانه لازم را انجام دهید، در عمل از تجربه امنیت اطلاعات به دست آمده در هر دو استفاده کنید سازمان خودو در سازمان های دیگر؛
    • - انتقال. رساندن اطلاعات دقیقدر مورد اقدامات برای بهبود ISMS به همه طرف های ذینفع، در حالی که درجه جزئیات باید با شرایط مطابقت داشته باشد و در صورت لزوم، در مورد اقدامات بعدی توافق شود.
    • - اطمینان از اجرای بهبودهای ISMS برای دستیابی به اهداف برنامه ریزی شده.

    علاوه بر این، استاندارد الزامات مستندسازی را ارائه می‌کند که باید شامل مفاد خط‌مشی ISMS و شرح دامنه عملیات، شرح روش‌شناسی و گزارش ارزیابی ریسک، طرح درمان ریسک، و مستندسازی رویه‌های مرتبط باشد. فرآیند مدیریت اسناد ISMS شامل به روز رسانی، استفاده، ذخیره سازی و تخریب نیز باید تعریف شود.

    برای ارائه شواهدی مبنی بر انطباق با الزامات و اثربخشی ISMS، حفظ و نگهداری سوابق اجرای فرآیندها ضروری است. به عنوان مثال می توان به گزارش بازدیدکنندگان، گزارش های حسابرسی و غیره اشاره کرد.

    این استاندارد مشخص می کند که مدیریت سازمان مسئول تهیه و مدیریت منابع لازم برای ایجاد یک ISMS و همچنین سازماندهی آموزش پرسنل است.

    همانطور که قبلا ذکر شد، سازمان باید مطابق با برنامه زمانبندی مصوب، ممیزی های داخلی ISMS را برای ارزیابی عملکرد و مطابقت آن با استاندارد انجام دهد. و مدیریت باید تجزیه و تحلیل سیستم مدیریت امنیت اطلاعات را انجام دهد.

    همچنین باید برای بهبود سیستم مدیریت امنیت اطلاعات کار کرد: افزایش اثربخشی و سطح انطباق آن وضعیت فعلیسیستم و الزامات آن