جدول كاربست پذيري بندهاي استاندارد
الزامات سیستم های مدیریت امنیت اطلاعات (ISMS)
27001 ISO
| سياست امنيت | سند خط مشي امنيت اطلاعات | توصيه مي شود، يک سند خطمشي امنيت اطلاعات، توسط مديريت تصويب و منتشر و به اطلاع همه کارکنان و طرفهاي مرتبط بيروني برسد |
| سياست امنيت | بازبيني خط مشي امنيت اطلاعات | توصيه مي شود خطمشي امنيت اطلاعات در بازههاي زماني برنامه ريزي شده بازنگري شود، يا اگر تغييرات معنا داري رخ داد، تا همواره از مناسبت، کفايت و اثربخشي آن اطمينان حاصل شود. |
| سازمان امنيت اطلاعات | تعهد مديريت به امنيت اطلاعات | توصيه مي شود مديريت فعالانه، امنيت را در درون سازمان از طريق جهت گيري شفاف، تعهد اثبات شده، مکلف کردن به صورت صريح و اعلام مسئوليتهاي امنيت اطلاعات، حمايت نمايد |
| سازمان امنيت اطلاعات | هماهنگي امنيت اطلاعات | توصيه مي شود فعاليتهاي امنيت اطلاعات، توسط نمايندگاني از بخش هاي مختلف سازمان با نقش ها و کارکردهاي شغلي مرتبط، هماهنگ شوند. |
| سازمان امنيت اطلاعات | تخصيص مسئوليت هاي امنيت اطلاعات | توصيه مي شود تمامي مسئوليتهاي امنيت اطلاعات، به وضوح تعريف شوند. |
| سازمان امنيت اطلاعات | فرآيند مجوز دهي براي استفاده از امكانات و ابزار پردازش اطلاعات | يک فرايند مجاز سازي مديريتي براي امکانات جديد پردازش اطلاعات بايد تعريف و پياده سازي شود. |
| سازمان امنيت اطلاعات | توافق نامه هاي محرمانگي | توصيه مي شود الزاماتي براي قرارداد هاي محرمانگي يا عدم افشاء که منعکس کننده نيازهاي سازمان به حفاظت از اطلاعات است، شناسايي و بطور منظم بازنگري شود. |
| سازمان امنيت اطلاعات | ارتباط با اولياي امر | توصيه مي شود ارتباطات مناسبي با اولياي امور مرتبط، برقرار و حفظ شود. |
| سازمان امنيت اطلاعات | ارتباط با گروههاي امنيتي متخصص و ذينفع در داخل سازمان | توصيه مي شود ارتباطات مناسبي با گروههاي داراي گرايش خاص يا ساير انجمن هاي امنيتي متخصص و انجمن هاي حرفه اي، برقرار و حفظ شود. |
| سازمان امنيت اطلاعات | بررسي و بازنگري مستقل امنيت اطلاعات | رويکرد سازمان به امنيت اطلاعات و پياده سازي آن (به عنوان مثال اهداف کنترلي، کنترلها، خطمشي ها، فرايندها و روشهاي اجرايي امنيت اطلاعات )، توصيه مي شود در فواصل زماني طرحريزي شده يا هنگاميکه تغييرات عمده اي در پياده سازي امنيت اطلاعات رخ دهد، مستقلاً بازنگري شود. |
| سازمان امنيت اطلاعات | شناسايي ريسكهاي مرتبط با اشخاص بيروني | توصيه مي شود ريسکها اطلاعات و امکانات پردازش اطلاعات سازمان ناشي از فرايندهاي کسبوکار مرتبط با طرفهاي بيروني، پيش از اعطاي دسترسي، شناسايي شده و کنترلهاي مناسب، پياده سازي شوند. |
| سازمان امنيت اطلاعات | ملاحظات امنيتي هنگام ارتباط با مشتريان | توصيه مي شود، تمام الزامات امنيتي شناسايي شده ، پيش از اعطاي دسترسي اطلاعات يا اموال سازمان به مشتري، مورد توجه قرار گيرد . |
| سازمان امنيت اطلاعات | ملاحظات امنيتي در قراردادهاي شخص ثالث | توصيه مي شود، توافقنامه هاي منعقده با اشخاص ثالثي که با اعطاي دسترسي ، پردازش کردن ، تبادل يا مديريت کردن اطلاعات يا امکانات پردازش اطلاعات سازمان ، يا اضافه کردن محصولات يا خدمات به امکانات پردازش اطلاعات ، سروکار دارند ، تمامي الزامات امنيتي مرتبط را پوشش دهند . |
| مديريت داراييها | فهرست اموال | توصيه ميشود تمام داراييها به وضوح شناسايي شده و سياهه اي از تمام داراييهاي مهم، تنظيم و نگهداري شود. |
| مديريت داراييها | مالكيت دارايي ها | توصيه ميشود تمام اطلاعات و دارائيهاي مهم مرتبط با امکانات پردازش اطلاعات، در تملک بخش معيني از سازمان باشد. |
| مديريت داراييها | استفاده مقبول از دارايي ها | توصيه ميشود قواعدي براي استفادة پسنديده از اطلاعات و دارائيهاي مرتبط با امکانات پردازش اطلاعات، مشخص، مستند سازي و پياده سازي شوند. |
| مديريت داراييها | راهبردهاي طبقه بندي | توصيه ميشود اطلاعات با توجه به ارزش ، الزامات قانوني، حساسيت و بحراني بودن آن براي سازمان، طبقهبندي شوند. |
| مديريت داراييها | بكارگيري و نامگذاري اطلاعات | توصيه ميشود براي علامتگذاري و ادارهکردن اطلاعات، مجموعة مناسبي از روشهاي اجرايي با توجه به طرح طبقهبندي پذيرفته شده سازمان، ايجاد و پياده سازي شوند. |
| امنيت منابع انساني | وظايف و مسؤليت ها | توصيه ميشود نقش ها و مسئوليتهاي امنيتي کارکنان، پيمانکاران و کاربران شخص ثالث، با توجه به خطمشي امنيت اطلاعات سازمان، تعريف و مدون شوند. |
| امنيت منابع انساني | گزينش | توصيه مي شود براي تصديق سوابق تمامي داوطلبين استخدام، پيمانکاران، و کاربران شخص ثالث، بررسي هايي با توجه به قوانين، آيين نامه ها و اصول اخلاقي مرتبط، و متناسب با الزامات کسب و کار ، طبقه بندي اطلاعاتي که در دسترس قرار مي گيرد و ريسکها ديده شده، انجام شود. |
| امنيت منابع انساني | شرايط استخدام | توصيه ميشود کارکنان، پيمانکاران و کاربران شخص ثالث، به عنوان بخشي از تعهد قرارداديشان، شرايط و ضوابط قرارداد استخدامي خود که توصيه ميشود بيانگر مسئوليتهاي ايشان در قبال امنيت اطلاعات باشد، قبول و امضاء نمايند. |
| امنيت منابع انساني | مسئوليت مديريت | توصيه ميشود مديريت کارکنان، پيمانکاران و کاربران شخص ثالث را به بکارگيري امنيت، با توجه به خطمشي ها و روشهاي اجرايي ايجاد شدة سازمان، الزام نمايد. |
| امنيت منابع انساني | آموزش امنيت اطلاعات | تمامي کارکنان سازمان و در صورت لزوم، پيمانکاران و کاربران شخص ثالث، آنجا که به کارکرد شغلي شان مرتبط باشد، توصيه ميشود در خصوص خطمشي ها و روشهاي اجرايي سازمان، به صورت مناسب، آموزش آگاه سازانه ديده و به طور منظم، به روز شوند. |
| امنيت منابع انساني | رويه هاي تنبيه انضباطي | توصيه ميشود يک فرايند انضباطي رسمي، براي کارکناني که مرتکب يک نقض امنيتي ميشوند، وجود داشته باشد. |
| امنيت منابع انساني | مسئوليت هاي خاتمه يا تغيير کار | توصيه ميشود براي خاتمه دادن به خدمت يا تغيير شغل، مسئوليتهايي به وضوح تعريف و تخصيص داده شوند. |
| امنيت منابع انساني | بازگشت دارايي ها | توصيه ميشود تمامي کارکنان، پيمانکاران و کاربران شخص ثالث، تمامي دارائيهاي سازمان را که در اختيارشان است، به محض خاتمه استخدام، قرارداد يا توافقنامه شان، به سازمان عودت دهند. |
| امنيت منابع انساني | از بين بردن مجوزهاي دسترسي | حقوق دسترسي تمام کارکنان، پيمانکاران و کاربران شخص ثالث به اطلاعات و امکانات پردازش اطلاعات، توصيه ميشود به محض خاتمه استخدام، قرارداد يا توافق نامه شان، حذف شده يا به محض تغيير شغل، تنظيم شود. |
| امنيت محيطي و فيزيكي | مرز امنيت فيزيکي | توصيه ميشود حصارهاي امنيتي (موانعي از قبيل ديوارها، درهاي ورودي کنترل شده با کارت يا ميزهاي پذيرش با خدمه)، براي حفاظت نواحي حاوي اطلاعات و امکانات پردازش اطلاعات، استفاده شوند. |
| امنيت محيطي و فيزيكي | كنترل هاي ورودي هاي فيزيكي | توصيه ميشود نواحي امن، به منظور حصول اطمينان از اينکه فقط کارکنان مجاز، اجازه دسترسي دارند، توسط ورودي کنترلهاي مناسب، حفاظت شوند. |
| امنيت محيطي و فيزيكي | امنيت ساختمان ها، اتاق ها و دفاتر | توصيه ميشود امنيت فيزيکي براي دفاتر، اتاقها و امکانات، طراحي و بکار گرفته شود. |
| امنيت محيطي و فيزيكي | حفاظت در مقابل تهديدات محيطي و خارجي | توصيه ميشود براي مقابله با خسارت ناشي از آتش، سيل، زمين لرزه، انفجار، آشوب داخلي، و شکل هاي ديگري از حوادث طبيعي يا مصنوعي، حفاظت فيزيکي طراحي و بکار گرفته شود. |
| امنيت محيطي و فيزيكي | كار در مكان هاي امن | توصيه ميشود براي کار در نواحي امن، حفاظت فيزيکي و خطوط راهنما، طراحي و بکار گرفته شوند. |
| امنيت محيطي و فيزيكي | دسترسي عمومي، مكان هاي تحويل و بارگذاري | توصيه ميشود نقاط دسترسي از قبيل نواحي تحويل و بارگيري و ساير نقاطي که افراد غير مجاز ممکن است وارد ساختمان ها شوند، تحت کنترل قرار گرفته و در صورت امکان، براي جلوگيري از دسترسي غير مجاز، از امکانات پردازش اطلاعات، مجزا شوند |
| امنيت محيطي و فيزيكي | مكان تجهيزات و حفاظت از آنها | توصيه ميشود تجهيزات (در مکان مناسب) مستقر يا محافظت شوند تا ريسکها ناشي از تهديدها و خطرات محيطي و فرصتهاي دسترسي غير مجاز، کاهش يابند. |
| امنيت محيطي و فيزيكي | تأسيسات پشتيباني | توصيه ميشود تجهيزات در برابر قطع برق و ساير اختلالات ناشي از نقص هاي امکانات پشتيباني، محافظت شوند. |
| امنيت محيطي و فيزيكي | امنيت کابل کشي | کابل کشي هاي برق و ارتباطات مورد استفاده براي انتقال داده يا پشتيباني از خدمات اطلاعاتي، توصيه ميشود در برابر قطع شدن يا وارد آمدن خسارت، محافظت شوند. |
| امنيت محيطي و فيزيكي | نگهداري تجهيزات | توصيه ميشود تجهيزات به منظور حصول اطمينان از تداوم دسترس پذيري و يکپارچگي شان، به درستي نگهداري شوند. |
| امنيت محيطي و فيزيكي | امنيت تجهيزات خارج از شركت | توصيه ميشود براي تجهيزات خارج از محوطه، با توجه به ريسکها مختلف ناشي از انجام کار در خارج از ابنيه هاي سازمان، امنيت برقرار شود. |
| امنيت محيطي و فيزيكي | امحاء يا استفاده مجدد از تجهيزات به صورت امن | تمام اجزاء تجهيزاتي که داراي رسانة ذخيرهسازي مي باشند، توصيه ميشود به منظور حصول اطمينان از اينکه هر دادة حساس و نرم افزار داراي حق امتياز، پيش از امحاء حذف شده يا به شيوة امني جانويسي شده، بررسي شوند. |
| امنيت محيطي و فيزيكي | تغيير محل دارايي | توصيه ميشود تجهيزات، اطلاعات يا نرم افزار، بدون مجوز قبلي، از محوطه خارج نشوند. |
| مديريت عمليات و ارتباطات | مستند سازي رويه هاي عملياتي | توصيه ميشود روشهاي اجرايي عملياتي، مدون شده، نگهداري شوند و در دسترس تمام کاربراني که به آنها نياز دارند قرار گيرند. |
| مديريت عمليات و ارتباطات | مديريت تغييرات | توصيه ميشود تغيير در امکانات و سيستمهاي پردازش اطلاعات، تحت کنترل باشد. |
| مديريت عمليات و ارتباطات | تفکيک وظايف | به منظور کاهش فرصتهاي دستکاري غير عمد يا غير مجاز، يا استفاده نابجا از دارائيهاي سازمان، توصيه ميشود وظايف و حدود مسئوليتها تفکيک شوند. |
| مديريت عمليات و ارتباطات | جداسازي تجهيزات آزمايش، توسعه و عملياتي | توصيه ميشود امکانات توسعه، آزمايش و اجرا، به منظور کاهش ريسکها ناشي از دسترسي غير مجاز يا تغييرات در سيستم عملياتي، تفکيک شوند. |
| مديريت عمليات و ارتباطات | ارائه خدمات | توصيه ميشود اطمينان حاصل شود که کنترلهاي امنيتي، تعاريف خدمت و سطوح تحويل مندرج در توافقنامه تحويل خدمت شخص ثالث، پياده سازي و اجرا شده و توسط شخص ثالث نگهداري ميشوند. |
| مديريت عمليات و ارتباطات | نظارت و بازبيني خدمات شخص ثالث | توصيه ميشود خدمات، گزارش ها و سوابق تهيه شده توسط شخص ثالث، به صورت قاعده مند پايش و بازنگري شده، و توصيه ميشود مميزي ها به صورت قاعده مند انجام شوند. |
| مديريت عمليات و ارتباطات | مديريت تغييرات در خدمات شخص ثالث | تغييرات در ارائه خدمات شامل نگهداري و بهبود خطمشي هاي امنيت اطلاعات، روشهاي اجرايي و کنترلهاي موجود، توصيه ميشود با توجه به ميزان بحراني بودن سيستم هاي کسبوکار و فرايندهاي مرتبط و برآورد مجدد ريسکها، مديريت شوند. |
| مديريت عمليات و ارتباطات | مديريت ظرفيت | توصيه ميشود استفاده از منابع پايش شده، تنظيم شده و ظرفيت مورد نياز در آينده به گونه اي پيش بيني شود که از کارايي مورد نياز در آينده به گونه اي پيش بيني شود که از کارايي مورد نياز سيستم، اطمينان حاصل شود. |
| مديريت عمليات و ارتباطات | پذيرش سيستم | توصيه ميشود پيش از پذيرش سيستمهاي اطلاعاتي جديد، ويرايشهاي ارتقاء يافته آزمايشهاي مناسب انجام پذيرند. |
| مديريت عمليات و ارتباطات | كنترل مقابله با كدهاي مخرب | توصيه ميشود کنترلهاي لازم براي تشخيص، پيشگيري و ترميم به منظور حفاظت در برابر کدهاي مخرب، و روشهاي اجرايي مناسب براي آگاهسازي کاربران پياده سازي شوند. |
| مديريت عمليات و ارتباطات | كنترل مقابله با كدهاي قابل انتقال | توصيه ميشود جائيکه استفاده از کدهاي سيار مجاز شده، پيکربندي اطمينان دهد که کد سيار مجاز شده، با توجه به خطمشي امنيتي اي که به صورت شفاف تعريف شده، عمل ميکند، و توصيه ميشود از اجراي کد سيار غير مجاز نيز پيشگيري شود. |
| مديريت عمليات و ارتباطات | پشتيبان گيري اطلاعات | توصيه ميشود نسخ پشتيبان از اطلاعات و نرم افزار، با توجه به خطمشي توافق شدة نسخ پشتيبان، به صورت منظم تهيه و آزمايش شوند. |
| مديريت عمليات و ارتباطات | کنترل هاي شبکه | توصيه ميشود شبکهها به منظور حفاظت در برابر تهديدها و براي نگهداري امنيت سيستم ها و برنامه هاي کاربردي که از شبکه استفاده ميکنند (شامل اطلاعات در گردش)، به ميزان کفايت، مديريت و کنترل شوند. |
| مديريت عمليات و ارتباطات | امنيت خدمات شبکه | توصيه ميشود ويژگيهاي امنيتي، سطوح خدمت، و الزامات مديريتي تمامي خدمات شبکه، شناسايي شده و در هر توافقنامة خدمات شبکه، اعم از اينکه اين خدمات در داخل مهيا شده يا برون سپاري شده اند، لحاظ شوند. |
| مديريت عمليات و ارتباطات | مديريت رسانه هاي قابل انتقال | توصيه ميشود براي مديريت محيطهاي ذخيرهسازي قابل جابجايي، روشهاي اجرايي ايجاد شوند. |
| مديريت عمليات و ارتباطات | انهدام رسانه ها | محيطهاي ذخيرهسازي که ديگر مورد نياز نيستند، توصيه ميشود با بکارگيري روشهاي اجرايي رسمي، به صورت امن و محافظت شده، امحاء شوند. |
| مديريت عمليات و ارتباطات | رويه هاي اداره اطلاعات | توصيه ميشود روشهاي اجرايي جابجايي و انبارش اطلاعات، براي حفاظت اين اطلاعات در برابر افشاي غير مجاز يا استفاده نابجا، ايجاد شوند. |
| مديريت عمليات و ارتباطات | امنيت مستندات سيستم | توصيه ميشود مستندات سيستم در برابر دسترسي غير مجاز، حفاظت شوند. |
| مديريت عمليات و ارتباطات | سياستها و رويه هاي مبادله اطلاعات | براي حفاظت تبادل اطلاعات بواسطة استفاده از تمام انواع امکانات ارتباطي، توصيه ميشود خطمشيها، روشهاياجرايي و کنترل تبادل رسمي ايجاد شوند. |
| مديريت عمليات و ارتباطات | توافقات مبادله | براي تبادل اطلاعات و نرمافزار مابين سازمانها و طرفهاي بيروني، توصيه ميشود توافقنامههايي ايجاد شوند. |
| مديريت عمليات و ارتباطات | رسانه فيزيکي در انتقال | توصيه ميشود محيطهاي ذخيرهسازي حاوي اطلاعات در هنگام حملونقل خارج از مرزهاي فيزيکي سازمان، در برابر دسترسي غير مجاز، استفاده نابجا يا صدمه، محافظت شوند . |
| مديريت عمليات و ارتباطات | ارسال پيام الكترونيكي | توصيه ميشود اطلاعات مورد بحث در پيامرساني الکترونيکي به صورت مناسبي حفاظت شوند. |
| مديريت عمليات و ارتباطات | سيستم هاي اطلاعاتي سازمان | توصيه ميشود به منظور حفاظت اطلاعات مربوط به اتصالات دروني سيستمهاي اطلاعاتي کسبوکار ، خطمشيها و روشهاي اجرايي ايجاد و پيادهسازي شوند . |
| مديريت عمليات و ارتباطات | تجارت الکترونيک | اطلاعات مورد بحث در تجارت الکترونيکي که از شبکههاي عمومي عبور ميکنند، توصيه ميشود در برابر فعاليتهاي کلاه برداري، مناقشات در قرارداد، و افشاء و دستکاري غير مجاز، محافظت شوند. |
| مديريت عمليات و ارتباطات | معاملات برخط | توصيه ميشود اطلاعات مورد بحث در داد و ستدهاي برخط، به منظور پيشگيري از انتقال ناقص، مسيريابي اشتباه، تغيير يافتن غير مجاز پيغام، افشاي غير مجاز، بازگرداندن يا تکرار غير مجاز پيغام، حفاظت شوند. |
| مديريت عمليات و ارتباطات | اطلاعات قابل دسترسي عمومي | توصيه ميشود يکپارچگي اطلاعاتي که در يک سيستم در دسترس عموم، به منظور پيشگيري از دستکاري غير مجاز، محافظت شود. |
| مديريت عمليات و ارتباطات | ثبت رويدادهاي مميزي | توصيه ميشود سوابق وقايع مميزي مشتمل بر فعاليتهاي کاربر، استثناءها و وقايع امنيت اطلاعات، براي يک بازة زماني توافق شده، ايجاد و نگهداري شوند تا در رسيدگيهاي آتي و پايش کنترل دسترسي، کمک نمايد. |
| مديريت عمليات و ارتباطات | نظارت بر موارد استفاده از سيستم | توصيه ميشود روشهاياجرايي براي پايش کاربرد امکانات پردازش اطلاعات، ايجاد شده و نتايج فعاليتهاي پايش، به طور منظم، بازنگري شوند. |
| مديريت عمليات و ارتباطات | حفاظت از اطلاعات ثبت رخدادها | توصيه ميشود امکانات واقعهنگاري و اطلاعات ثبت شدة وقايع، در برابر دسترسي پنهاني و غير مجاز، حفاظت شوند. |
| مديريت عمليات و ارتباطات | رويدادهاي اپراتور و مديريت شبکه | توصيه ميشود وقايع فعاليتهاي متولي سيستم و متصدي سيستم ثبت شوند. |
| مديريت عمليات و ارتباطات | ثبت رويدادهاي وقوع خطا | توصيه ميشود وقايع خرابيها ثبت شده، تحليل شده و اقدام مناسبي انجام شود. |
| مديريت عمليات و ارتباطات | همگام سازي زماني | ساعتهاي تمامي سيستمهاي پردازش اطلاعات مرتبط در درون يک سازمان يا دامنة امنيتي ، توصيه ميشود با يک منبع زماني دقيق توافق شده، همزمان شوند. |
| کنترل دسترسي | سياست کنترل دسترسي | توصيه ميشود يک خطمشي کنترل دسترسي بر مبناي الزامات کسبوکار و الزامات امنيتي در خصوص دسترسي، ايجاد، مدون و بازنگري شود. |
| کنترل دسترسي | ثبت کاربر | توصيه ميشود براي اعطاء يا لغو دسترسي به سيستمها و خدمات اطلاعاتي، يک روشاجرايي رسمي ثبت و حذف کاربر وجود داشته باشد. |
| کنترل دسترسي | مديريت سطوح دسترسي | توصيه ميشود تخصيص و بکارگيري اختيارات ويژه ، محدود و کنترل شده باشد. |
| کنترل دسترسي | مديريت رمز عبور کاربران | توصيه ميشود تخصيص کلمات عبور، از طريق يک فرايند مديريت رسمي، کنترل شود. |
| کنترل دسترسي | بازرسي دسترسي کاربران | توصيه ميشود مديريت با استفاده از يک فرايند رسمي، حقوق دسترسي کاربران را در فواصل زماني منظم ، بازنگري کند. |
| کنترل دسترسي | استفاه از کلمه عبور | توصيه ميشود کاربران در انتخاب و بکارگيري کلمة عبور ، به تبعيت از شيوههاي امنيتي صحيح، ملزم شوند. |
| کنترل دسترسي | تجهيزات بدون متصدي | توصيه ميشود کاربران اطمينان داشته باشند که تجهيزات بدون متصدي، حفاظت مناسبي دارند. |
| کنترل دسترسي | سياست ميز تميز و صفحه پاک | توصيه ميشود يک خطمشي ميز پاک براي کاغذها و محيطهاي ذخيرهسازي قابل جابجايي و يک خطمشي صفحة پاک براي امکانات پردازش اطلاعات، مورد پذيرش واقع شوند. |
| کنترل دسترسي | سياست استفاده از خدمات شبکه | توصيه ميشود کاربران تنها به خدماتي که مشخصاً استفاده از آنها برايشان مجاز شده، دسترسي داشته باشند. |
| کنترل دسترسي | تأييد کاربر براي اتصال خارجي | توصيه ميشود براي کنترل دسترسي کاربران راه دور، روشهاي مناسب تصديق هويت بکار گرفته شوند. |
| کنترل دسترسي | شناسايي تجهيزات در شبكه ها | توصيه ميشود شناسايي خودکار تجهيزات، به عنوان وسيله اي براي تصديق هويت اتصالات از مکانها و تجهيزات مشخص، در نظر گرفته شود. |
| کنترل دسترسي | حفاظت از پورت هاي عيب يابي و تنظيم راه دور | توصيه ميشود دسترسي فيزيکي و منطقي به درگاههاي عيبيابي و پيکربندي، تحت کنترل باشد. |
| کنترل دسترسي | تفکيک در شبکه | توصيه ميشود گروههاي خدمات اطلاعاتي، کاربران و سيستمهاي اطلاعاتي، در شبکهها تفکيک شوند. |
| کنترل دسترسي | کنترل اتصال شبکه | براي شبکههاي اشتراکي، به ويژه آنهايي که در محدودههاي سازمان، گسترش مي يابند، قابليت کاربران براي اتصال به شبکه، توصيه ميشود در راستاي خطمشي کنترل دسترسي و الزامات برنامههاي کاربردي کسبوکار، محدود شود |
| کنترل دسترسي | کنترل مسيريابي شبکه | توصيه ميشود کنترلهاي مسيريابي براي شبکهها پيادهسازي شوند، تا اطمينان حاصل شود که اتصالات رايانه اي و جريانهاي اطلاعاتي، خطمشي کنترل دسترسي به برنامههاي کاربردي کسبوکار را نقض نميکنند. |
| کنترل دسترسي | رويه هاي Logon امن | توصيه ميشود دسترسي به سيستمهاي عامل، از طريق يک روشاجرايي ورود امن به سيستم، کنترل شود. |
| کنترل دسترسي | تاييد و شناسايي کاربر | توصيه ميشود تمامي کاربران يک شناسه يکتا (منحصر به فرد) (شناسة کاربر) براي استفاده شخصي خودشان داشته باشند و توصيه ميشود يک فن مناسب تصديق هويت، به منظور اثبات ادعا شدة (هويت ادعا شده توسط) يک کاربر، انتخاب شود. |
| کنترل دسترسي | سيستم مديريت رمز عبور | توصيه ميشود سيستمهاي مديريت کلمات عبور، تعاملي بوده و توصيه ميشود کيفيت کلمات عبور را تضمين نمايند. |
| کنترل دسترسي | استفاده از ابزارهاي سيستمي | توصيه ميشود استفاده از برنامههاي کمکي سيستم که ممکن است قادر به ابطال کنترلهاي سيستم و برنامة کاربردي باشند، محدود و به شدت کنترل شوند. |
| کنترل دسترسي | خاتمه Session | توصيه ميشود لايههاي ارتباطي غير فعال پس از يک بازة زماني تعريف شده براي غير فعال بودن، بسته و قطع شوند. |
| کنترل دسترسي | محدوديت زمان اتصال | به منظور فراهم آوري امنيت بيشتر براي برنامههاي کاربردي پر ريسک (مخاطره)، توصيه ميشود محدوديتهايي در زمانهاي اتصال اعمال گردد. |
| کنترل دسترسي | محدوديت دسترسي به اطلاعات | مطابق با خطر (خط) مشي کنترل دسترسي تعريف شده، توصيه ميشود دسترسي کاربران و کارکنان پشتيباني کننده به اطلاعات و کارکردهاي سيستم کاربردي، محدود شود. |
| کنترل دسترسي | مجزا كردن سيستم هاي حساس | توصيه ميشود سيستمهاي حساس يک محيط محاسباتي اختصاصي (مجزا)، داشته باشند. |
| کنترل دسترسي | ارتباط و پردازش متحرك | توصيه ميشود به منظور حفاظت در برابر مخاطرات بکارگيري امکانات محاسبه و ارتباطات سيار، يک خط مشي رسمي ايجاد و معيارهاي امنيتي مناسبي اختيار شوند. |
| کنترل دسترسي | کار از راه دور | توصيه ميشود براي فعاليتهاي کار از راه دور، يک خطمشي، طرحهاي عملياتي و روشهاي اجرايي، ايجاد و پيادهسازي شوند. |
| نگهداري و توسعه سيستم هاي اطلاعاتي | مشخصات و آناليز نيازمندي هاي امنيتي | آيا موقع طراحي سيستم هاي جديد و يا بهبود سيستم هاي موجود نيازهاي امنيتي را به عنوان بخشي از نيازهاي تجاري خود مي گنجانيد؟ (هرچه ارزش تجاري بيشتر باشد بايد ارزش امنيتي آن هم بيشتر در نظر گرفته شود). آيا در فازهاي اوليه پروژه هاي سيستم هاي اطلاعاتي، الزامات سيستم در زمينه امنيت اطلاعات و فرآيندهاي لازم براي پياده سازي اين نيازمندي ها در نظر گرفته مي شوند؟ |
| نگهداري و توسعه سيستم هاي اطلاعاتي | ارزيابي داده هاي ورودي | توصيه مي شود داده ورودي به برنامههاي کاربردي، اعتباردهي شوند تا از درستي و تناسب اين داده اطمينان حاصل شود. |
| نگهداري و توسعه سيستم هاي اطلاعاتي | کنترل پردازش هاي داخلي | توصيه مي شود بررسي هاي صحه گذاري در برنامه هاي کاربردي گنجانده شود تا هر خرابي اطلاعات درحين پردازش خطاها يا اقدامات عمدي آشکار شود. |
| نگهداري و توسعه سيستم هاي اطلاعاتي | يکپارچگي پيام | توصيه ميشود الزاماتي براي اطمينان از سنديت و حفاظت از يکپارچگي پيغام در برنامههاي کاربردي، شناسايي شده و کنترلهاي مناسبي شناسايي و پيادهسازي شوند. |
| نگهداري و توسعه سيستم هاي اطلاعاتي | ارزيابي داده هاي خروجي | توصيه ميشود به منظور حصول اطمينان از اينکه پردازش اطلاعات ذخيره شده، صحيح بوده و شرايط مناسبي دارد، دادههاي خروجي برنامههاي کاربردي، صحهگذاري شوند. |
| نگهداري و توسعه سيستم هاي اطلاعاتي | تدابير مبتني بر استفاده از کنترل هاي رمزنگاري | توصيه ميشود براي حفاظت از اطلاعات، يک خطمشي استفاده از کنترلهاي رمزنگاري، ايجاد و پيادهسازي شود . |
| نگهداري و توسعه سيستم هاي اطلاعاتي | مديريت کليد | توصيه ميشود به منظور پشتيباني استفاده سازمان از فنون رمزنگاري، يک سيستم مديريت کليد ايجاد شود. |
| نگهداري و توسعه سيستم هاي اطلاعاتي | کنترل نرم افزارهاي عملياتي | توصيه ميشود به منظور کنترل نصب نرمافزار بر روي سيستمهاي عملياتي، روشهاي اجرايي ايجاد شوند. |
| نگهداري و توسعه سيستم هاي اطلاعاتي | محافظت از داده هاي تست سيستم | توصيه ميشود دادههاي آزمايشي، به دقت انتخاب شده، محافظت و کنترل شوند. |
| نگهداري و توسعه سيستم هاي اطلاعاتي | کنترل دسترسي به کتابخانه کد برنامه ها | توصيه ميشود دسترسي به کد منبع برنامه، محدود شود. |
| نگهداري و توسعه سيستم هاي اطلاعاتي | رويه هاي کنترل تغييرات | توصيه ميشود با استفاده از روشهاي اجرايي رسميکنترل تغيير، پيادهسازي تغييرات کنترل شوند. |
| نگهداري و توسعه سيستم هاي اطلاعاتي | بازبيني فني برنامه هاي كاربردي بعد از تغييرات سيستم عامل | توصيه ميشود در هنگام تغيير سيستمهاي عامل، به منظورحصول اطمينان از عدم وجود تاثير سوء بر عمليات يا امنيت سازماني، نرمافزارهاي کاربردي حياتي کسبوکار بازنگري و آزمايش شوند. |
| نگهداري و توسعه سيستم هاي اطلاعاتي | محدوديت هاي تغييرات بسته هاي نرم افزاري | توصيه ميشود از دستکاري در بستههاي نرمافزاري، اجتناب شده، محدود به تغييرات ضروري باشد، و توصيه ميشود تمامي تغييرات به شدت کنترل شوند. |
| نگهداري و توسعه سيستم هاي اطلاعاتي | نشت اطلاعات | توصيه ميشود از فرصتهاي نشت اطلاعات، پيشگيري شود. |
| نگهداري و توسعه سيستم هاي اطلاعاتي | توسعه نرم افزارهاي برون سپاري شده | توصيه ميشود توسعة نرمافزار برونسپاري شده، توسط سازمان، نظارت و پايش شود. |
| نگهداري و توسعه سيستم هاي اطلاعاتي | كنترل آسيب پذيري فني | اطلاعات بهنگام در خصوص آسيب پذيريهاي فني سيستمهاي اطلاعاتي مورد استفاده، توصيه ميشود که کسب شده، قرار گرفتن سازمان در معرض چنين آسيبپذيريهايي ارزيابي شده، و معيارهاي مناسبي براي نشان دهي ريسکها مربوطه، برگزيده شوند. |
| مديريت حوادث مرتبط با امنيت اطلاعات | گزارش گيري از رخدادهاي امنيت اطلاعات | توصيه ميشود وقايع امنيت اطلاعات در کوتاهترين زمان ممکن، از طريق مجاري مديريتي مناسب، گزارش شوند. |
| مديريت حوادث مرتبط با امنيت اطلاعات | گزارش گيري از نقاط ضعف امنيتي | توصيه ميشود تمامي کارکنان، پيمانکاران و کاربران شخص ثالث سيستمها و خدمات اطلاعاتي، نسبت به يادداشت و گزارشدهي هر ضعف امنيتي مشاهده شده يا مورد سوء ظن در سيستمها يا خدمات، ملزم شوند. |
| مديريت حوادث مرتبط با امنيت اطلاعات | رويه ها و مسئوليت ها | توصيه ميشود به منظور حصول اطمينان از يک پاسخ سريع، موثر و منظم به حوادث امنيت اطلاعات، مسووليتهاي مديريتي و روشهاي اجرايي ايجاد شوند. |
| مديريت حوادث مرتبط با امنيت اطلاعات | يادگيري از حوادث امنيت اطلاعات | توصيه ميشود براي اينکه نوع، حجم و هزينههاي حوادث امنيتي، قابل اندازه گيري و پايش باشند، ساز و کارهاي لازم ايجاد شوند. |
| مديريت حوادث مرتبط با امنيت اطلاعات | مجموعه شواهد | هنگاميکه پيگرد عليه يک فرد يا سازمان، پس از يک حادثة امنيت اطلاعات، منجر به اقدام قانوني (اعم از مدني يا جنايي ) ميشود، توصيه ميشود شواهد منطبق با قواعد اقامة شواهد در حوزههاي قضايي مرتبط، گردآوري، نگهداري و ارائه شوند. |
| مديريت تداوم کسب و کار | وارد كردن امنيت اطلاعات در فرآيند مديريت تدوام كسب و كار | توصيه ميشود فرآيند مديريت شده اي به منظور تداوم کسب و کار در سراسر سازمان، ايجاد و نگهداري شود که الزامات امنيت اطلاعات مورد نياز تداوم کسب و کار سازمان را نشاني دهي کند. |
| مديريت تداوم کسب و کار | تدوام كسب و كار و ارزيابي ريسك | توصيه ميشود وقايعي که مي توانند موجب وقفه در فرآيندهاي کسب و کار شوند، با توجه به احتمال بروز و آسيب ناشي از چنين وقفه هايي و پيامدهاي آنها بر امنيت اطلاعات، شناسايي شوند. |
| مديريت تداوم کسب و کار | نوشتن و پياده سازي طرح هاي تدوام با رويكرد امنيت اطلاعات | در پي وقفه يا يا بروز نقص در فرآيندهاي بحراني کسب و کار، به منظور نگهداري يا از سرگيري عمليات و اطمينان از دسترس پذيري اطلاعات در سطح و مقياس هاي زماني مورد نياز، توصيه ميشود طرح هايي ايجاد و پياده سازي شوند. |
| مديريت تداوم کسب و کار | چارچوب برنامه ريزي تداوم كسب و كار | به منظور حصول اطمينان از سازگاربودن تمامي طرح ها، نشان دهي بدون تناقض الزامات امنيت اطلاعات، و شناسايي اولويت هاي آزمايش و نگهداري، توصيه ميشود يک چارچوب واحد از طرح هاي تداوم کسب و کار ايجاد و نگهداري شود. |
| مديريت تداوم کسب و کار | تست، نگهداري و ارزيابي مجدد طرح هاي تداوم كسب و كار | توصيه ميشود طرح هاي تداوم کسب و کار، به منظور حصول اطمينان از اينکه به روز و موثر هستند، به طورمنظم مورد آزمايش قرار گرفته و بهنگام شوند. |
| انطباق | تعيين قوانين الزامي | تمامي مقررات، الزامات آيين نامه اي و قراردادي مرتبط و رويکرد سازمان نسبت به برآورده سازي اين الزامات، بايد براي هر سيستم اطلاعاتي و سازمان، به وضوح تعريف شده، مدون شده و به روز نگه داشته شوند. |
| انطباق | حقوق مالكيت معنوي | توصيه ميشود به منظور حصول اطمينان از انطباق با الزامات قانون گزار، الزامات آيين نامه اي و قراردادي در استفاده از کالاهايي که ممکن است داراي حقوق دارايي فکري باشد، و در هنگام استفاده از محصولات نرم افزاري داراي حقوق کسب و کار، روشهاي اجرايي مناسب، پياده سازي شوند. |
| انطباق | حفاظت از مدارک سازماني | توصيه ميشود سوابق مهم، با توجه به مقررات، الزامات آئين نامه اي، قراردادي و کسب و کار، در برابر گم شدن، تخريب و تحريف، محافظت شوند. |
| انطباق | حفاظت از حريم شخصي و حفاظت از اطلاعات پرسنلي | توصيه ميشود حفاظت داده ها و حريم خصوصي آنگونه که در قوانين و آئين نامه هاي مرتبط، و در صورت قابليت اعمال، شرايط قراردادي، الزام شده، تضمين شود. |
| انطباق | جلوگيري از سوء استفاده از امکانات پردازش اطلاعات | توصيه ميشود کاربران از بکارگيري امکانات پردازش اطلاعات براي مقاصد غير مجاز، بازداشته شوند. |
| انطباق | مقررات كنترلهاي رمزنگاري | توصيه ميشود کنترلهاي رمزنگاري در انطباق با تمامي توافق نامه ها، قوانين و آئين نامه هاي مرتبط، بکارگرفته شوند. |
| انطباق | انطباق با خط مشي امنيتي | براي حصول انطباق با خط مشي ها و استانداردهاي امنيتي، توصيه ميشود مديران از اينکه تمامي روشهاي اجرايي امنيتي، در حيطة مسئوليت شان، به درستي اجرا مي شوند، اطمينان حاصل نمايند. |
| انطباق | ارزيابي انطباق فني | توصيه ميشود به منظور انطباق با استانداردهاي پياده سازي امنيت، سيستم هاي اطلاعاتي به طور منظم بررسي شوند. |
| انطباق | کنترل هاي مميزي سيستم اطلاعات | توصيه ميشود الزامات و فعاليت هاي مميزي مرتبط با بررسي هاي سيستم هاي عملياتي، به دقت طرح ريزي و مورد توافق قرار گيرند تا ريسکها ناشي از توقف در فرآيندهاي کسب و کار، کمينه شوند. |
| انطباق | محافظت از ابزارهاي مميزي سيستم اطلاعات | توصيه ميشود به منظور پيشگيري از هرگونه استفادة نابجا يا به خطر افتادن محتمل، دسترسي به ابزارهاي مميزي سيستم هاي اطلاعاتي، محافظت شده باشد. |
دیدگاهها
پاکسازی فیلترهیچ دیدگاهی برای این محصول نوشته نشده است.