iso 27001 forms templates tadbirafza.com
فرم گزارش وقايع امنيت اطلاعات- ISO 27001 تومان ۱۰.۰۰۰
بازگشت به محصولات
iso 27001 forms templates tadbirafza.com
چک ليست الزامات عمومي مميزي داخلي ISMS - ISO 27001 تومان ۱۰.۰۰۰
گوشی را به حالت افقی بچرخون-آکادمی تدبیرافزا
iso 27001 forms templates tadbirafza.com

    چك ليست تخصصي مميزي داخلي ISMS – ISO 27001

    شناسه محصول: TA-27-Fr100-00-26 دسته:
    دانلود نمونه مستندات

    (روش اجرایی، دستورالعمل، شرح شغل، شناسنامه فرآیند)

    نظامنامه

    نمونه مستندات

    مستر لیست

    4 افرادی که اکنون این محصول را تماشا می کنند!
    40 اقلام فروخته شده در 12 ماه
    پکیج شگفت انگیز مشاور مدیر25k

    پیشنهاد شگفت انگیز (کلیک کنید)

    ملاحظات
    قابلیت ویرایش مستندات آکادمی تدبیر افزا.svg
    تضمین کیفیت محتوی و استاندارد مستندات
    تضمین استرداد وجه.svg
    پرداخت امن با کارتهای شتاب-در بستر شاپرک
    آیکن تماس
    پشتیبانی دائمی 24 ساعته 7 روز هفته
    دسترسی راحت و دائمی به مستندات در حساب کاربری
    دسترسی راحت و دائمی به مستندات در حساب کاربری
    ایمیل مستندات آکادمی تدبیر افزا.svg
    تضمین استرداد کل وجه پرداختی در صورت نارضایتی

    تومان ۱۰.۰۰۰

    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    جدول شناسایی مالكین دارايي های اطلاعاتي -فايل سرور- ISO 27001

    تومان ۱۰.۰۰۰
    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    جدول فعاليتهاي دوره اي ICT- ISO 27001

    تومان ۱۰.۰۰۰
    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    جدول كاربست‌ پذيري بندهاي استاندارد مدیریت امنیت اطلاعات- ISO 27001

    تومان ۱۰.۰۰۰
    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    جدول كنترل دسترسي به سيستم پرتال- ISO 27001

    تومان ۱۰.۰۰۰
    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    چک ليست الزامات عمومي مميزي داخلي ISMS – ISO 27001

    تومان ۱۰.۰۰۰
    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    چک ليست بازديدهاي ادواري تجهيزات و مکان هاي امن- ISO 27001

    تومان ۱۰.۰۰۰
    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    فرم تعهدنامه محرمانگي – ISO 27001

    تومان ۱۰.۰۰۰
    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    كاربرگ امحاء اطلاعات – ISO 27001

    تومان ۱۰.۰۰۰
    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    كاربرگ تحويل دائم تجهيزات انفورماتيك – ISO 27001

    تومان ۱۰.۰۰۰
    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    كاربرگ تعهدنامه رازداري همکاران- ISO 27001

    تومان ۱۰.۰۰۰
    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    كاربرگ ثبت سوابق تغييرات- ISO 27001

    تومان ۱۰.۰۰۰
    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    كاربرگ درخواست تغييرات – ISO 27001

    تومان ۱۰.۰۰۰
    مستندات جامع
    استقرار استانداردهای مدیریت
    ISO IATF 16949:2016

    سیستم مدیریت کیفیت خودرو

    ISO IMS

    استاندارد سیستم مدیریت یکپارچه

    ISO 9001:2015

    استاندارد سیستم مدیریت کیفیت

    ISO 14001:2015

    استاندارد مدیریت زیست محیطی

    ISO 17020:2012

    استاندارد تأیید صلاحیت بازرسی

    ISO 17025:2017

    مدیریت آزمایشگاه های کالیبراسیون

    ISO 22000:2018

    مدیریت ایمنی و بهداشت غذایی

    ISO 45001:2018

    مدیریت زیست محیطی

    ISO 50001:2018

    استاندارد مدیریت انرژی

    ISO 10002:2018

    استاندارد مدیریت شکایات

    ISO 10004:2018

    مدیریت رضایتمندی مشتری

    ISO 10015:2019

    مدیریت اثربخش آموزش

    مستندات جامع
    ساماندهی فرآیندهای مدیریتی و اجرایی
    حوزه مدیریت
    حوزه اداری مالی
    حوزه برنامه ریزی
    حوزه تضمین کیفیت
    حوزه کنترل کیفیت
    واحد فنی مهندسی
    واحد نگهداری تعمیرات
    امور قراردادها
    واحد بازرگانی
    گنجینه مشاور مدیر

    مستندات کامل ساماندهی فرآیندها

    مستندات استانداردهای مدیریتی
    به تفکیک
    مستندات ISO 17020
    مستندات ISO 22000
    مستندات ISO 45001
    مستندات ISO 10015
    مستندات ISO 27001
    مستندات ایمنی شغلی HSE
    مستندات جامع اعتباربخشی
    فرم های موردنیاز واحدهای سازمانی
    فرمهای حوزه مدیریت
    فرمهای حوزه اداری مالی
    فرمهای واحد برنامه ریزی
    فرمهای واحد تضمین کیفیت
    فرمهای واحد کنترل کیفیت
    فرمهای حوزه بازرگانی
    فرمهای نگهداری تعمیرات
    شناسه محصول: TA-27-Fr100-00-26 دسته:

    چك ليست تخصصي مميزي داخلي ISMS – ISO 27001

    tadbirafza-favicon

    آکادمی تدبیرافزا

    tadbirafz.com

    چك ليست تخصصي مميزي داخلي سيستم مديريت امنيت اطلاعات

    الزامات سیستم های مدیریت امنیت اطلاعات (ISMS)

    27001 ISO

    1- آيا خط‌مشي امنيت اطلاعاتي که مورد تاييد مديريت قرار گرفته باشد و منتشر شده و به اطلاع کليه كاركنان رسيده باشد وجود دارد؟                                      2- آيا خط‌مشي، تعهد مديريت و رويکرد سازمان نسبت به سيستم‌ مديريت امنيت اطلاعات را بيان مي کند؟
    1-آيا خط مشي امنيت اطلاعات در بازه هاي زماني برنامه ريزي شده يا در صورت وقوع تغييرات قابل توجه بازبيني شده است تا از تداوم اثربخشي، بسندگي و مناسب بودن آن اطمينان حاصل شود؟

    2-آيا خط مشي امنيت اطلاعات داراي يک مالک که از سوي مديريت مسئول توسعه، بازبيني و ارتقاء خط مشي امنيت باشد، مي باشد؟
    3-آيا رويه اي براي بازبيني خط مشي امنيت وجود دارد و الزامات بازبيني مديريت را برآورده مي کند؟

    4-آيا نتايج بازبيني مديريت به اجرا در مي آيند؟

    5-آيا تأييد مديريت در زمينه خط مشي بازبيني شده دريافت مي شود؟
    1- آيا مديريت به صورت فعالانه از فعاليت‌هاي امنيت اطلاعات درون سازمان پشتيباني مي‌کند؟ (اين امر مي تواند از طريق نشان دادن جهت‌گيري شفاف و تعهد اثبات شده و همچنين تخصيص مسووليت‌هاي امنيت اطلاعات به صورت روشن انجام شود.)
    1- آيا كميته‌اي شامل افراد مسوول از بخش‌هاي مختلف سازمان براي هماهنگ‌سازي در اعمال سياست‌ها و امنيت وجود دارد؟
    1- آيا مسووليت‌ها براي حفاظت از دارايي‌هاي اطلاعاتي و انجام فرآيندهاي امنيتي مشخص، بصورت شفاف در سازمان تعريف شده است؟
    1- آيا يك فرآيند مديريت مجوز دهي مناسب براي امكانات و ابزار جديد پردازش اطلاعات وجود دارد؟
    1- آيا توافق‌نامه‌هاي محرمانگي كه انعكاس‌دهنده نيازهاي سازماني درخصوص حفاظت از اطلاعات مي‌باشد، بصورت صريح مدون شده و بازبيني ادواري شده است؟     2- آيا اين توافق‌نامه با استفاده از بندهاي قانوني قابل اجرا، نيازهاي سازمان را براي حفاظت اطلاعات محرمانه برآورده مي‌کند؟
    1- آيا سازمان شما با مراجع تنفيذ قوانين و هيات‌هاي سازمان‌دهنده و اولياي امر (مثل مسوول حفاظت، نيروهاي انتظامي و اطفاي حريق)‌ مرتبط تعامل مناسب برقرار ساخته است و نحوه گزارش دادن حوادث مشخص شده است؟
    1- آيا سازمان شما با انجمن‌ها، گروه‌هاي امنيتي متخصص (جهت آگاهي از آخرين تغييرات و آسيب پذيري‌هاي شناسايي شده) تعامل مناسب برقرار ساخته است؟
    1- آيا رويکرد سازمان نسبت به مديريت امنيت اطلاعات و پياده‌سازي آن در بازه‌هاي زماني برنامه‌ريزي شده يا هنگام وقوع تغييرات عمده در پياده‌سازي امنيت بصورت مستقل مورد بازنگري قرار مي‌گيرد؟
    1- آيا ريسك‌هايي كه سازمان در مواجه با پيمانكاران بيروني با آنها برخورد خواهد كرد، مشخص و كنترل‌هاي لازم براي برخورد با آنها پياده‌سازي شده است؟             2- آيا الزامي جهت شناسايي و اعلام ريسک‌هاي مربوط به هر پيمانکار توسط ذينفع مربوطه قبل از عقد قرارداد در سازمان وجود دارد؟
    1- آيا نيازهاي امنيتي سازمان قبل از دسترسي مشتريان به اطلاعات يا دارايي‌هاي سازمان مشخص شده است؟
    1- آيا سياست‌هاي مدون براي كار با پيمانكاران وجود دارد كه چگونگي رعايت مسائل امنيتي را در قرارداد و شرح کار فيمابين بيان كند؟
    1- آيا فهرستي از كليه اموال تهيه شده است؟             2- آيا فهرست اموال مهم شناسايي شده و نگهداري مي‌گردد؟
    1- آيا مالكيت تمام اطلاعات و دارايي‌هاي سازمان توسط هر كدام از بخشهاي مختلف سازمان مشخص شده است؟
    1- آيا قوانيني جهت استفاده مقبول از اطلاعات و دارايي‌هاي مرتبط با امكانات پردازش اطلاعات مشخص، مستند و پياده‌سازي شده است؟
    1- آيا اطلاعات سازمان از منظر ارزش، الزامات قانوني و قراردادي جهت حفظ محرمانگي، رعايت ساير الزامات و حساسيت آنها طبقه‌بندي شده است؟
    1- آيا رويه‌هاي مناسبي جهت به‌كارگيري و نام‌گذاري اطلاعات، منطبق با طرح‌هاي طبقه‌بندي پذيرفته شده توسط آن سازمان وجود دارد؟
    1- آيا وظايف و مسووليت‌هاي امنيتي كاركنان، پيمانكاران و اشخاص ثالث مطابق با خط‌مشي امنيتي سازمان مشخص و مدون شده است؟
    2- آيا نقش‌ها و مسووليت‌ها تعريف شده‌اند و در طي فرآيند پيش از استخدام به روشني به آگاهي متقاضيان استخدام رسانده مي‌شود؟
    1- آيا سابقه كاركنان دايم، پيمانكاران و كاركنان موقت در زمان استخدام مطابق قوانين مربوطه از نظر امنيتي كنترل مي‌شود؟
    2- آيا ادعاهاي متقاضيان در زمينه تحصيلات و سوابق کاري و هويتشان بررسي مي‌شوند؟
    1- آيا از کاركنان، پيمانکاران و کاربران شخص ثالث خواسته مي‌شود که به عنوان يکي از شرايط اوليه استخدام يا همکاري، قرارداد عدم افشا يا محرمانگي را امضا کنند؟
    2- آيا اين قراردادها، مسووليت‌ها و الزامات امنيتي سازمان و كاركنان، پيمانکاران و کاربران شخص ثالث را پوشش مي‌دهد؟
    1- آيا مديريت سازمان كاركنان، پيمانكاران و اشخاص ثالث را ملزم به رعايت تدابير امنيتي مطابق با رويه‌ها و خط‌مشي امنيتي سازمان طي مدت کار با سازمان مي‌نمايد؟
    1- آيا به كاركنان سازمان، وابستگان و كاربران شخص ثالث آموزش و آگاهي منظم در ارتباط با رويه‌ها و تدابير امنيت سازمان داده مي‌شود؟
    1- آيا براي افرادي كه قوانين امنيتي را رعايت نمي‌كنند و يا بعضا آنها را نقض مي‌نمايند، جرايمي در نظر گرفته شده است؟
    1- آيا مسووليت‌ها و وظايف مرتبط با تغيير يا خاتمه استخدام يك كارمند بصورت صريح و شفاف به وي اعلام و نسبت داده شده مي‌شود؟
    1- آيا فرآيندي وجود دارد که طي آن اطمينان حاصل شود كاركنان، پيمانكاران و اشخاص ثالث به هنگام خاتمه قرارداد و يا استخدام خود، دارايي‌هاي سازمان را بر مي‌گردانند؟
    1- آيا مجوزهاي دسترسي كاركنان، پيمانكاران و اشخاص ثالث به اطلاعات و امكانات پردازش اطلاعات بعد از خاتمه استخدام و يا قرارداد و يا هنگام جابجايي از بين برده و يا حسب نياز تغيير داده مي‌شود؟
    1- آيا تسهيلاتي مثل ورودي‌هاي کنترل کارت يا قسمت پذيرش، براي حفاظت از ابزارهاي پردازش اطلاعات پياده سازي شده‌اند؟
    1- آيا نواحي حساس سازمان توسط كنترل‌هاي ورودي فيزيكي كه فقط امكان ورود به افراد مجاز را مي‌دهد، محافظت مي‌شود؟
    1- آيا امنيت فيزيكي براي ساختمان‌ها، اتاق‌ها و دفاتري که داراي ابزارهاي پردازش اطلاعات هستند، طراحي و پياده سازي شده است؟
    1- آيا حفاظت فيزيكي جهت مقابله با خرابي حاصل از بلاهاي طبيعي يا محصول دست بشر طراحي و به‌كار گرفته شده است؟
    1- آيا راهنما و دستورالعمل كار در مناطق حفاظت شده و حساس تدوين و به‌كار گرفته شده است؟ (مثل ورود تجهيزات ضبط صدا و تصوير به نواحي حساس، قفل‌کردن نواحي حساس که پرسنلي در آنجا حضور ندارد.)
    1- آيا مكان‌هاي تحويل و بارگذاري كنترل شده و درصورت امكان جهت اجتناب از دسترسي‌هاي غير‌مجاز از تاسيسات پردازش اطلاعات جدا شده‌اند؟
    1- آيا تجهيزات در برابر خطرات ناشي از حوادث و يا دسترسي افراد غيرمجاز محافظت شده‌اند؟
    1- آيا تجهيزات از قطع برق و ديگر خرابي‌هاي حاصل از تاسيسات پشتيباني محافظت شده است؟
    2- آيا عملکرد منابع برق مثل منبع چندگانه، منبع غيرفابل قطع (ups)، ژنراتورهاي پشتيباني و غيره بهينه شده‌اند؟
    1- آيا كابل كشي‌هاي برق و ديتا در مقابل خرابي و شنود محافظت شده‌اند؟ آيا کنترل‌هاي امنيتي ديگري اضافه بر موارد ذکر شده براي اطلاعات حساس يا مهم وجود دارند؟
    1- آيا تجهيزات پردازش، انتقال و نگهداري اطلاعات جهت بهره‌برداري مداوم بطور مناسبي تعمير و نگهداري مي‌شوند؟
    2- آيا تجهيزات مطابق دوره‌هاي زماني و شرايط توصيه شده از سوي تامين‌کننده، بازبيني مي‌شوند؟
    3- آيا تعمير و نگهداري تنها توسط كاركنان که مجوز آن کار را دارد؟
    1- آيا مخاطرات هرگونه استفاده از تجهيزات خارج از مرزهاي سازمان ارزيابي شده‌اند و کنترل‌هاي اصلاحي به‌کار گرفته شده‌اند؟
    2- آيا مديريت مجوز استفاده از تسهيلات پردازش اطلاعات در خارج مرزهاي سازمان را صادر کرده است؟
    1- آيا اطلاعات را از روي ابزار مثل هارد و يا ديسك قبل از دور انداختن يا استفاده مجدد پاك مي‌كنيد؟
    2- آيا قبل از پاک‌کردن به الزامات نگهداري اطلاعات مربوطه واقفيد؟ (مثل software license)
    1- آيا پاك‌كردن اطلاعات از روي سيستم يا خارج‌كردن سخت افزار و تجهيزات و اطلاعات از شركت نياز به مجوز مديريت دارد؟
    1- آيا رويه‌هاي عملياتي از لحاظ تدابير امنيتي، مستند سازي، نگهداري، بروزرساني و در اختيار و دسترسي كاربران داراي مجوز قرار داده شده ميشود؟
    2- آيا چنين رويه‌هايي به عنوان مستندات رسمي در نظر گرفته مي شوند، در نتيجه براي اعمال تغييرات در آنها نياز به اجازه مديريت دارد؟
    1- آيا تغيير و تحول در سيستم و ابزارهاي پردازش اطلاعات مثل سرويس‌ها و نرم‌افزارهاي اصلي كنترل و مديريت مي‌شود؟
    1- آيا تفكيك وظايف و مسووليت‌ها جهت جلوگيري از فرصت‌طلبي افراد غير‌مجاز در تغيير و سوء استفاده از اطلاعات و تجهيزات، در سازمان وجود دارد؟
    1- آيا تجهيزات و امکانات بخش طراحي و تست از بخش اپراتوري و عملياتي جدا مي باشد؟ براي مثال نرم‌افزار توسعه و توليد بايد در کامپيوترهاي جداگانه‌اي اجرا شوند. درصورت لزوم شبکه‌هاي توسعه و توليد بايد از يکديگر جدا باشند.
    1- آيا كنترل‌هاي امنيتي، تعاريف خدمات و سطوح ارايه در قراردادهاي ارايه خدمات شخص ثالث درج و توسط شخص ثالث اجرا مي‌گردد؟
    1- آيا بطور منظم خدمات و گزارش‌هاي تهيه شده توسط شخص ثالث نظارت و بازبيني مي‌شود تا از تماميت اجراي مفاد قرارداد/ توافقنامه و رعايت الزامات امنيتي اعلام شده به ايشان اطمينان حاصل نماييد؟
    1- آيا تغيير در قوانين و چگونگي ارايه خدمات شخص ثالث مانند بهبود خط‌مشي امنيت اطلاعات، رويه‌ها و كنترل‌هاي موجود به درستي مديريت مي‌شود و درصورت تغيير مجددا ريسك‌ها ارزيابي مي‌شود؟
    2- آيا  در اين زمينه به اهميت سيستم هاي کسب و کار، فرآيندها و ارزيابي مجدد مخاطرات توجه مي شود؟
    1- آيا استفاده از منابع هميشه رديابي شده و فضاي ذخيره‌سازي مورد نياز مدام بررسي مي‌شود و پيش بيني براي نياز‌هاي آينده انجام مي‌شود تا همواره توان محاسباتي و حافظه كافي داشته باشيد؟ (مديريت ظرفيتها) براي مثال، فضاي هارد ديسک، RAM و CPU در سرورهاي مهم.
    1- آيا قبل از قبول سيستم‌هاي جديد و يا ارتقاي سيستم‌هاي قديم، جهت ارزشيابي اين سيستم‌ها، معيارهاي خاصي برقرار مي‌شود؟
    2- آيا قبل از قبول اين سيستم‌ها آزمايش‌هاي مناسبي انجام مي‌شود؟
    1- آيا روش‌هاي تشخيص و محافظت در مقابل كدهاي مخرب و نيز روش‌هايي جهت اطلاع‌رساني مستمر به كاربران وجود دارد؟
    1- آيا تنها از کدهاي قابل انتقال داراي مجوز استفاده مي‌شود؟
    2- آيا تنظيمات بصورتي است که اطمينان حاصل کنيم کدهاي قابل انتقال مجوزدار براساس خط‌مشي امنيت عمل مي‌کنند؟
    3- آيا از اجرا‌شدن کدهاي قابل انتقال بدون مجوز جلوگيري مي‌شود؟
    1- آيا از اطلاعات حياتي و نرم افزارها بصورت مرتب و ادواري مطابق با سياست پشتيبان‌گيري، پشتيبان تهيه مي‌شود؟
    2- آيا همه اطلاعات ضروري و نرم‌افزارها بعد از يک حادثه يا از کار افتادن رسانه‌ها، قابل بازيابي هستند؟
    1- آيا مجموعه‌اي از كنترل‌ها جهت ايجاد و برقراري امنيت شبكه اعمال مي‌شود؟ (مثل وظيفه نگهداري شبکه كه از نگهداري سرورها جدا شده است.)
    2- آيا سرويس‌هاي شبکه به لحاظ اطمينان از حفظ سه محور امنيت اطلاعات پايش مي‌شوند؟
    3- آيا کنترل‌هايي براي حصول اطمينان از تامين امنيت اطلاعات در شبکه  و حفاظت خدمات در برابر تهديدهايي مثل دسترسي غيرمجاز پياده سازي شده اند؟
    1- آيا موارد امنيتي، سطوح سرويس و مديريت لازم در سرويس هاي شبكه مدون و در قراردادهاي ارايه خدمات شبكه چه به صورت داخلي و چه به صورت برون سپاري لحاظ مي گردد؟
    2- آيا توانايي ارايه‌کننده خدمات شبکه در مديريت خدمات به صورت ايمن ارزيابي شده است و به صورت پيوسته تحت كنترل است؟
    1- آيا رويه‌هايي براي مديريت رسانه‌هاي كامپيوتري قابل حمل مانند فلش درايوها، ديسك‌ها و گزارشات چاپ شده وجود دارد؟   2- آيا مدياهاي داراي قابليت استفاده دوباره مثل هارد ديسک و … که به محتوي آنها نيازي نيست هنگام خروج از سازمان پاکسازي بصورت غير‌قابل بازگشت مي‌شود؟
    1- آيا رويه‌ايي براي انهدام امن رسانه‌هاي كامپيوتري که ديگر مورد نياز نيستند (مانند ديسك و غيره) ايجاد شده است؟
    1- آيا رويه‌اي براي كار و ذخيره‌سازي اطلاعات جهت محافظت در مقابل سوء استفاده و يا فاش‌شدن غير‌مجاز  هنگام گردش کار وجود دارد؟ (ملاحظات نحوه ارسال اطلاعات خاص و…)
    1- آيا مستندات سيستم‌ها در مقابل دسترسي غير‌مجاز محافظت ميشود؟
    1- آيا سياست‌ها، رويه‌ها و كنترل‌هايي جهت حفظ تماميت اطلاعات و رد و بدل دستي يا الكترونيكي اطلاعات و نرم افزارها از طريق تمام رسانه‌هاي ارتباطي وجود دارد؟
    2- آيا رويه و کنترل به‌کار گرفته شده، حوزه مبادله الکترونيک اطلاعات را نيز پوشش مي دهند؟
    1-آيا توافقاتي جهت رد و بدل دستي يا الكترونيكي اطلاعات و نرم افزار بين سازمانها ( سازمان شما و ديگر سازمانها) وجود دارد (مثل استفاده از امضاي ديجيتال، معرفي سرويس دهنده courier و يا اعلام نوع Labeling داده هاي تبادلي) ؟
    2-آيا توافقنامه ها با توجه به حساسيت داده هاي تجاري مبادله شده تنظيم شده اند؟
    1- آيا رسانه‌هاي حامل اطلاعات سازمان حين حمل و نقل خارج از مرزهاي سازمان در مقابل دسترسي غير‌مجاز، سوء استفاده و يا خرابي محافظت شده است؟ (استفاده از سرويس دهنده مناسب و تاييد شده، استفاده از کيف امن هنگام تبادل اطلاعات، نحوه بسته‌بندي و …)
    1- آيا اطلاعات در هنگام ارسال پيام الكترونيكي (E-Mail, Chat, SMS,…) بصورت مناسب محافظت مي‌شوند؟
    1- آيا سياست‌ها و رويه‌هاي لازم جهت حفاظت اطلاعات مرتبط با ارتباطات داخلي سيستم‌هاي اطلاعاتي سازمان مدون و پياده‌سازي شده است؟ (مثل اطلاعات مشترک و يا دسترسي به اطلاعاتي که بصورت خاص در اختيار افراد خاصي است و و افشاي آن از طريق امکانات مربوطه سيستم هاي داخلي ميسر است)
    1- آيا اطلاعات مرتبط با تجارت الكترونيكي در هنگام نقل و انتقال بر روي شبكه‌هاي عمومي از جهت تخريب اطلاعات، فعاليت‌هاي كلاه‌برداري يا دسترسي غيرمجاز محافظت مي‌شوند؟
    2- آيا کنترل‌هاي امنيتي مثل کنترل‌هاي رمزگذاري مورد استفاده قرار گرفته‌اند؟
    3- آيا توافقات تجارت الکترونيكي بين طرفين شامل به صورت مدون تعهد هر دو طرف را به شرايط مورد توافق و مسائل امنيتي نشان بدهد، مي شود؟
    1- آيا اطلاعات در هنگام معاملات برخط از انتقال ناقص، تغيير غير‌مجاز پيام، افشاي غير‌مجاز و نسخه‌برداري غير‌مجاز از پيام محافظت مي‌شود؟
    1- آيا يكپارچگي اطلاعات موجود در سيستم‌هاي قابل دسترس عموم از تغيير غير‌مجاز محافظت مي‌شود؟
    1- آيا رويدادهاي حاصل از فعاليت‌هاي كاربران، خطاها و رويدادهاي مرتبط با امنيت اطلاعات توليد و طي زمان مشخصي نگهداري مي‌شود؟
    1- آيا رويه‌اي براي تحت نظارت داشتن (رديابي) استفاده از ابزار پردازش اطلاعات وجود داشته و آيا حاصل اين نظارت‌ها بصورت ادواري بررسي مي‌شود؟
    2- آيا سطح نظارت مورد نياز براي تسهيلات پردازشگر اطلاعات با توجه به ارزيابي مخاطرات شناسايي شده است؟
    1- آيا ابزارهاي ثبت رويداد يا اطلاعات رويدادها از دسترسي غير‌مجاز محافظت مي‌شود؟
    1- آيا رويدادهاي مرتبط با فعاليت هاي اپراتور و مدير شبكه سيستم ثبت مي‌شود؟
    2- آيا فعاليت‌هاي ثبت رويدادها بصورت منظم بازبيني مي‌شوند؟
    1- آيا رويدادهاي مرتبط با خطاهاي اتفاق‌افتاده ثبت، تحليل و اقدامات مناسب انجام مي‌پذيرد؟
    2- آيا سطح مورد نياز براي ثبت رويدادها براي سيستم‌هاي افراد، با توجه به ارزيابي مخاطرات شناسايي شده است؟
    1- آيا ساعت تمام كامپيوترها و سيستم‌ها جهت ثبت اطلاعات دقيق با يك منبع زماني دقيق همزمان مي‌شوند؟ (يکسان بودن ساعت کامپيوترها از جهت دقت رويدادهاي بازبيني مهم مي‌باشد.)
    1- آيا يک خط‌مشي براي کنترل دسترسي توسعه داده شده است و براساس نيازهاي امنيتي و کسب و کار بازبيني مي‌شود؟
    2- آيا در خط‌مشي به کنترل دسترسي از هر دو ديد فيزيکي و منطقي توجه شده است؟
    3- آيا به کاربران و ارايه‌کنندگان خدمات يک اظهارنامه واضح و روشن درباره اهداف سازمان ارايه شده است؟
    1- آيا رويه‌اي رسمي براي ثبت و يا خارج‌كردن كاربر از ثبت كاربران در سيستم‌هاي اطلاعاتي كه چندين كاربر دارند وجود دارد؟
    1- آيا تخصيص يا استفاده از هرگونه حق دسترسي در محيط سيستم‌هاي اطلاعاتي محدود و کنترل شده است؟ (براي مثال حق دسترسي براساس نياز کاربر تخصيص داده شده است يا اينکه بعد از اينکه بصورت رسمي کاربر مجاز شد به او دسترسي داده مي‌شود.)
    1- آيا دادن كلمه عبور و تغيير آن تحت يك فرآيند مديريت رسمي مي‌باشد؟
    2- آيا از کاربران درخواست مي‌شود تا اظهارنامه‌اي را مبني بر اينکه رمز عبور را محرمانه نگه مي دارند، امضا‌ کنند؟
    1- آيا بصورت ادواري و منظم و توسط يك فرآيند رسمي، حد و مرز دسترسي افراد مديريت مي‌شود؟ (مثال بازبيني ويژه در هر 3 ماه يکبار و بازبيني معمولي هر 6 ماه يکبار انجام شود.)
    1- آيا كاربران الزامي به دنبال كردن روشهاي امنيتي مناسب جهت انتخاب و استفاده از كلمه عبور دارند؟(مثلا تعداد حروف و نوع كاراكترها).
    1- آيا كاربران و پيمانکاران ملزم به رعايت اصول امنيتي در مورد تجهيزات بدون متصدي، (تجهيزات عمومي مانند چاپگر تحت شبکه و ترمينالهاي عمومي کاري) مي‌باشند؟ براي مثال بعد از اينکه کارشان با دستگاه تمام شد، دستگاه را Logoff کنند.
    1- آيا سياست ميز تميز براي كاغذها و حافظه‌هاي قابل حمل و صفحه نمايش تميز براي ابزارهاي پردازش اطلاعات جهت حفاظت اطلاعات از دسترسي‌هاي غيرمجاز و آسيب‌ديدن و يا گم‌شدن اطلاعات اجرا مي‌شود؟
    1- آيا كاربران تنها اجازه دسترسي مستقيم به سرويس‌هاي خاصي را كه مجاز به استفاده از آنها مي باشند، را دارند؟
    آيا سياستي در زمينه شبکه‌ها و خدمات شبکه‌ها وجود دارد؟
    1- آيا براي افرادي كه از راه دور به كامپيوترهاي شركت متصل مي شوند، روش‌هايي جهت احراز هويت وجود دارد؟ (مانند روش‌هاي رمزنگاري)
    1- آيا شناسايي اتوماتيك تجهيزات به عنوان ابزاري جهت تاييد اعتبار اتصالات از يك مكان يا وسيله مشخص وجود دارد؟
    1- آيا دسترسي فيزيكي و منطقي به پورت‌هاي عيب‌يابي و برنامه‌ريزي، كنترل امنيتي مي‌شود؟
    1- آيا كنترل‌هاي مناسبي در شبكه جهت تفكيك گروه‌هاي سيستم‌هاي اطلاعاتي، كاربران و سرويس‌هاي اطلاعاتي مانند VLAN وجود دارد؟
    2- آيا شبکه (در حالتي که شرکاي تجاري يا اشخاص ثالث نياز به دسترسي به سيستم اطلاعاتي داشته باشند) با استفاده از مرزهاي امنيتي مثل ديوار آتش امن شده‌ است؟
    1- آيا سياست کنترل دسترسي در زمينه قابليت اتصال کاربران به شبكه‌هاي مشترك به خصوص آنهايي که گستره‌اي فراي مرزهاي سازمان دارند، وجود دارد؟
    1- آيا شبكه‌هاي مشترك از كنترل‌هاي مسيريابي مناسب جهت اتصال كامپيوترها و حركت اطلاعات در شبكه بنحوي كه از سياست کنترل دسترسي پيروي شود، استفاده مي‌نمايند؟
    2- آيا کنترل‌هاي مسيريابي براساس positive source و مکانيسم شناسايي مقصد مي‌باشند؟
    1- آيا ارتباط با سيستم‌هاي عامل از طريق رويه Logon بصورت امن انجام مي‌شود؟
    1-آيا كاربران از جمله اپراتورها، راهبر شبکه و همه کارمندان ديگر داراي يك ID مشخص جهت رديابي فعاليت هاي آنان مي باشند؟ و آيا روش احراز هويت كاربر جهت اطمينان از اينكه فرد همان است كه ادعا مي كند، وجود دارد؟
    2-آيا account کاربر عام تنها در شرايط خاصي که يک مزيت تجاري وجود دارد تخصيص داده مي شوند و از کنترل هاي اضافي براي ايجاد مسئوليت پذيري استفاده مي شود؟
    1- آيا سيستم‌هاي مديريت كلمات عبور جهت به‌كارگيري درست كلمه عبور به‌كار رفته است؟
    (مانند ذخيره كلمه عبور با روش‌هاي رمزي، عدم نمايش كلمه عبور روي صفحه و تغيير ادواري كلمه عبور)
    1- آيا استفاده از برنامه‌هاي خدماتي كه قابليت ايجاد مشكل براي سيستم و کنترل‌ها را دارند، داراي محدوديت بوده و به شدت كنترل مي‌شوند؟
    1- آيا Session‌هاي برنامه‌هاي کاري و يا ارتباطي پس از مدت مشخصي غيرفعال بودن بسته خواهند شد؟
    (براي بعضي از سيستم‌ها مي‌توان از شکل محدود شده سيستم خاتمه استفاده کرد، به اين صورت که صفحه را پاک کند و از دسترسي غيرمجاز جلوگيري کند اما برنامه يا Session شبکه را کاملا نبندد
    1- آيا محدوديتي برروي زمان اتصال به سرويس‌هاي با ريسك بالا به جهت افزايش امنيت وجود دارد؟ اين نوع تنظيمات بهتر است براي سرويس‌هاي حساس که ترمينال‌هاي آنها در مناطق پرمخاطره نصب شده‌اند به‌کارگرفته شود.
    1- آيا دسترسي به اطلاعات و سيستم‌هاي كاربردي، مطابق با قواعد كنترل دسترسي، محدود مي‌باشد؟
    1- آيا سيستم‌هاي حساس، يك محيط پردازش خاص (يا مجزا) دارند؟ براي مثال در يک کامپيوتر مجزا اجرا شوند يا تنها با سيستم‌هاي مورد اعتماد تبادل اطلاعات دارند.
    1- آيا قواعد مدون و كنترل‌هاي مناسبي (مثل ايجاد پشتيبان از اطلاعات آنها، نگهداري مناسب فيزيکي از آنها و …)‌جهت محافظت شما در مقابل ريسك‌هاي استفاده از تسهيلات ارتباطي و پردازش سيار مثل palmtops, laptops، کارت‌هاي هوشمند و تلفن‌هاي موبايل وجود دارد؟ 2-آيا در سياست پردازش سيار به مخاطرات کار کردن در محيط هاي بدون محافظ توجه شده است؟
    1- آيا قواعد، رويه‌ها و استانداردي مناسب جهت اجازه و كنترل فعاليت‌هاي از راه دور وجود دارد؟
    1- آيا موقع طراحي سيستم‌هاي جديد و يا بهبود سيستم‌هاي موجود نيازهاي امنيتي را به عنوان بخشي از نيازهاي تجاري خود مي‌گنجانيد؟ (هرچه ارزش تجاري بيشتر باشد بايد ارزش امنيتي آن هم بيشتر در نظر گرفته شود.)
    2- آيا در فازهاي اوليه پروژه هاي سيستم هاي اطلاعاتي، الزامات سيستم در زمينه امنيت اطلاعات و فرآيندهاي لازم براي پياده سازي اين نيازمندي ها در نظر گرفته مي شوند؟
    1- آيا داده‌هايي را که به سيستم‌هاي کاربردي ارسال مي‌شود قبلا چک مي‌کنيد تا از صحت آنها مطمئن شويد؟ مثلا آيا انواع مختلف داده به سيستم اعمال مي‌شود تا پيام‌هاي خطا تست شوند؟ درصورت رخداد خطا چه کارهايي بايد انجام شود؟ وظايف اپراتورها چيست؟
    1- آيا تست سنجش اعتبار درون برنامه ها قرار داده شده است تا  هرگونه تحريف اطلاعات را از طريق پيغام هاي خطا يا اقدامات حساب شده شناسايي کند؟
    2- آيا طراحي و پياده سازي برنامه ها به گونه اي هست که خطر وقوع اشتباه در پردازش را حداقل سازد؟
    1- آيا الزامات حفاظت از يکپارچگي پيام‌ها در برنامه‌ها شناسايي شده است و کنترل‌هاي مناسب شناسايي و نصب شده‌اند؟
    2- آيا با توجه به ارزيابي ريسک، نياز به يکپارچه‌سازي پيام وجود دارد و مناسب‌ترين شيوه پياده‌سازي آن چه مي‌باشد؟
    1- آيا خروجي سيستم‌ها را بررسي مي‌کنيد تا از صحت پردازش داده‌هاي ذخيره شده اطمينان حاصل شود؟
    1- آيا سازمان سياستي در زمينه استفاده از روشهاي رمزنگاري براي حفاظت از اطلاعات دارا مي باشد؟
    2- آيا اين سياست با موفقيت اجرا شده است؟
    3- آيا سياست رمزگذاري با توجه به رويکرد مديريت نسبت به استفاده از کنترل هاي رمزگذاري، نتايج ارزيابي ريسک، روش هاي  مديريتي کليد و استاندارهاي مختلف پياده سازي اثربخش تدوين شده است؟
    1-آيا مديريت کليد براي پشتيباني از روشهاي رمزنگاري برقرار گرديده است؟
    2-آيا کليدهاي رمزنگاري در برابر تخريب، اعمال تغيير و گم شدن محافظت مي شوند؟
    3-آيا کليدهاي رمزي و عمومي (Secret and Private) در برابر افشا شدن بودن مجوز حفاظت مي شوند؟
    4-آيا تجهيزاتي که براي توليد کليدهاي share استفاده مي شوند از نظر فيزيکي محافظت مي شوند؟
    5-آيا سيستم مديريت کليد براساس مجموعه استاندارها، رويه هاو روش هاي ايمني است که در مورد آنها توافق وجود دارد؟
    1- آيا رويه‌اي براي کنترل نصب نرم‌افزار روي سيستم‌هاي عملياتي وجود دارد؟ (هدف از اين کنترل حداقل نمودن خطر خراب شدن سيستم‌هاي عملياتي است.)
    1-آيا داده‌هايي که براي تست سيستم استفاده مي‌شود کنترل شده و محافظت شده مي‌باشد؟
    2- آيا استفاده از اطلاعات شخصي يا هر اطلاعات حساس ديگر براي تست نمودن بانک اطلاعاتي عملياتي اجتناب شده است؟
    1- آيا دسترسي به کتابخانه‌هاي کد برنامه‌ها تحت کنترل و نظارت مي‌باشد؟
    1- آيا رويه کنترلي دقيقي براي اعمال تغييرات در سيستم‌هاي اطلاعاتي وجود دارد؟ (هدف از اين کنترل حداقل‌‌کردن خرابي سيستم اطلاعاتي است.)
    2- آيا اين رويه به نياز موجود براي ارزيابي مخاطرات و تحليل تاثيرات تغييرات، مي‌پردازد؟
    1- آيا رويه يا فرآيندي براي تست و بررسي برنامه‌هاي كاربردي مهم سازمان از جهت امنيتي يا عملياتي بعد از اعمال تغييرات در سيستم عامل وجود دارد؟
    ضرورت دارد بصورت دوره‌اي سيستم عامل ارتقا يابد براي مثال مجموعه خدمات، وصله‌ها، hot fixes و غيره برروي آن نصب شود.
    1- آيا محدوديت يا ممنوعيتي درخصوص تغيير بسته‌هاي نرم‌افزاري اعلام شده است؟
    2- آيا همه تغييرات به دقت کنترل مي‌شوند؟
    1- آيا کنترل‌هايي براي جلوگيري از نشت اطلاعات به کارگرفته شده‌اند؟
    2- آيا کنترل‌هايي مثل اسکن نمودن outbound media، نظارت منظم بر كاركنان و فعاليت‌هاي سيستم که با توجه به قوانين محلي مجاز هستند و پايش استفاده از منابع، مورد توجه قرار گرفته‌اند؟
    1- آيا از نظر امنيتي کنترلي بر روي طراحي و توسعه نرم‌‌افزارهاي برون‌سپاري شده وجود دارد؟ (کنترل مالکيت معنوي، الزام قراردادي در زمينه تضمين کيفيت،‌ تست پاکي نرم‌افزار و عاري‌ بودن آن از شکاف‌هاي امنيتي و کدهاي مخرب قبل از عملياتي‌کردن آن)
    1- آيا اطلاعات بهنگام درخصوص آسيب‌پذيري‌هاي فني سيستم‌هاي اطلاعاتي سازمان استخراج شده و احتمال قرار‌گرفتن سازمان در معرض اين آسيب پذيري‌ها ارزيابي شده است؟
    2- آيا اقدامات پيشگيرانه لازم جهت كاهش ريسك انجام مي پذيرد (Patch Management)؟
    1- آيا وقوع حوادث مرتبط با امنيت اطلاعات سازمان از طريق كانال‌هاي مديريتي مناسب و در اسرع وقت گزارش مي‌شود؟
    2- آيا رويه گزارش‌دهي رسمي رويدادهاي امنيت اطلاعات، واکنش نشان دادن به حوادث و رويه escalation ، توسعه و پياده‌سازي شده‌اند؟
    1- آيا كاركنان، كاربران و اشخاص ثالث كاربر سيستم‌هاي اطلاعاتي، ملزم شده‌اند كه درصورت مشاهده هرگونه نقطه ضعف امنيتي در سيستم‌ها و سرويس‌ها، مورد را گزارش نمايند؟
    1- آيا رويه‌ها و مسووليت‌هاي مديريتي جهت حصول اطمينان از پاسخ سريع و موثر به وقوع حوادث امنيت اطلاعات وجود دارد؟
    2- آيا از طريق زير نظر گرفتن سيستم‌ها، پيغام‌هاي هشدار و آسيب‌پذيري‌ها سعي مي‌شود، حوادث امنيت اطلاعات شناسايي شود؟
    3- آيا در زمينه اهداف مديريت حوادث امنيت اطلاعات با مديريت توافق صورت گرفته شده است؟
    1- آيا مكانيزمي جهت رديابي و تشخيص نوع، حجم و اندازه ضرر حادث شده از وقوع حوادث امنيت اطلاعات وجود دارد؟
    2- آيا اطلاعات بدست آمده از ارزيابي حوادث گذشته امنيت اطلاعات در جهت شناسايي حوادث تکرار شونده و مخرب به‌کار گرفته شده‌اند؟
    1- آيا بعد از وقوع يک حادثه امنيت اطلاعات پيگيري قانوني جهت شکايت از فرد يا سازمان مقصر انجام مي‌شود؟ 2- آيا مكانيزمي جهت جمع‌آوري، حفظ و ارايه شواهد مربوط به حادثه يا جرم امنيتي براي ارايه به محاكم قضايي وجود دارد؟
    3- آيا رويه‌هاي داخلي داخلي براي جمع آوري و ارائه شواهد جهت انجام اقدام تنبيهي درون سازمان توسعه داده شده و دنبال مي شوند؟
    1- آيا در سازمان، يك فرآيند مديريت شده جهت لحاظ كردن نيازمندي‌هاي امنيت اطلاعات در فرآيند مديريت تداوم كسب و كار وجود دارد؟
    2- آيا اين فرآيند مخاطرات پيشروي سازمان را در نظر مي‌گيرد و دارايي‌هاي مهم سازمان و تاثيرات حوادث را شناسايي مي‌کند؟ همچنين به پياده سازي کنترل هاي بازدارنده اضافي و مستند نمودن طرح هاي تداوم کسب و کاري که به نيازمندي هاي امنيت مي پردازند توجه دارد؟
    1- آيا ريسك‌هايي كه ممكن است سبب توقف فرآيندهاي كاري شود، شناسايي شده و احتمال وقوع و ميزان اثر مخرب آنها در حوزه امنيت اطلاعات تخمين زده شده است؟
    1-آيا برنامه اي براي راه اندازي مجدد عمليات و در دسترس قرار دادن اطلاعات در سطح مورد نياز و در حداقل زمان ممكن پس از وقوع خرابي يا نقص در فرآيندهاي كاري حياتي سازمان طراحي و پياده سازي شده است؟
    2-آيا طرح به شناسايي و موافقت در مورد مسئوليت ها، شناسايي زيان قابل قبول، اجراي عمليات بازيابي و رويه ترميم، مستند سازي رويه و آزمايش منظم رسيدگي مي کند؟
    1- آيا يک چارچوب واحد براي تدوام شرکت وجود دارد که سازگاري بخش‌هاي مختلف آن و اولويت‌ها براي تست و به‌ روز‌‌رساني رعايت شده باشد؟
    2- آيا طرح تداوم کسب و کار نيازمندي‌هاي شناسايي شده امنيت اطلاعات را در نظر مي‌گيرد؟
    1- آيا برنامه‌ريزي ادواري و منظم جهت مرور و به روز‌رساني و اطمينان يافتن از اثربخش بودن طرح‌هاي تدوام شرکت وجود دارد؟
    2- آيا در آزمايش‌هايي که در زمينه طرح تداوم کسب و کار انجام مي گيرد اطمينان حاصل مي شود که همه اعضاء تيم بازيابي و کارمندان مرتبط ديگر از طرح ها و مسئوليت هايشان در برنامه آگاهي دارند و مي دانند نقششان چيست؟
    1- آيا در مورد سازمان و كليه سيستم اطلاعاتي آن، تمام الزامات قراردادي، قانوني و مقرراتي سازمان و رويكرد سازمان در رعايت اين الزامات به طور صريح مشخص، مدون و به روز شده است؟
    2- آيا کنترل هاي ويژه و مسووليت‌هاي افراد در جهت رعايت اين الزامات تعريف شده و مستند مي‌باشد؟
    1- آيا نرم افزارها با ليسانس خريداري مي‌شوند؟
    2- آيا حقوق كپي رايت رعايت مي‌شود؟
    3- آيا رويه‌هايي براي حصول اطمينان از رعايت‌شدن الزامات قانوني، قراردادي و مقرارتي  وجود داشته و پياده‌سازي شده‌اند؟
    4- آيا کنترل‌هايي مثل: سياست رعايت حقوقنشر دارايي هاي فکري، رويه هاي خريد نرم افزار، اطلاع رساني و آگاهي سازي افراد از سياست ها، نگهداري سند مالکيت، رعايت شرايط و ضوابط نرم افزارها مورد توجه قرار گرفته اند؟
    1- آيا مدارک سازماني مطابق الزامات قانوني، قراردادي و مقرراتي در برابر خرابي و نابودي محافظت مي‌شوند؟
    2- آيا احتمال زوال رسانه‌اي که براي ذخيره‌کردن سوابق به‌کار رفته است، مورد توجه قرار گرفته است؟
    3- آيا سيستم‌هاي ذخيره‌سازي داده‌ها به نحوي انتخاب شده اند که بتوانيم داده هاي مورد نياز را در يک مدت زمان قابل قبول و فرمت مورد نظر با توجه به الزامات بازيابي شوند؟
    1- آيا حفاظت از اطلاعات پرسنلي و حريم شخصي مطابق قوانين و مقرارت مربوطه و درصورت لزوم مطابق با قرارداد صورت مي‌گيرد؟
    1- آيا کنترل‌هاي مديريتي جهت اعطاي مجوز استفاده از امکانات پردازش اطلاعات و پيشگيري از سوء استفاده از چنين امکاناتي وجود دارد؟
    2- آيا درصورت Log-on، قبل از وارد شدن يک پيغام هشدار بر روي صفحه کامپيوتر به نمايش در مي‌آيد؟
    3- آيا کاربر بايد پيغام را تصديق کند و به آن واکنش مناسبي نشان دهد تا بتواند فرآيند log-on را ادامه دهد؟
    آيا قبل از اينکه هرگونه رويه کنترلي اجرا شود مشورتي در زمينه موارد قانوني گرفته شده است؟
    1- آيا از كنترل‌هاي رمزنگاري مطابق با تمام قوانين، مقررات و توافقنامه‌هاي مرتبط استفاده مي‌شود؟
    1- آيا مديران از اجراي صحيح کليه رويه‌هاي امنيتي در محدوده مسووليتشان اطمينان حاصل مي‌کنند؟
    2- آيا مديران بصورت منظم انطباق تسهيلات پردازش اطلاعات درون محدوده خود را بر خط‌مشي و رويه امنيت اطلاعات بررسي مي‌کنند؟
    1- آيا سيستم‌هاي اطلاعاتي جهت تطبيق با استانداردهاي پياده‌سازي امنيت بطور منظم ارزيابي مي‌شوند؟
    2- آيا بررسي انطباق فني توسط يا زير نظر پرسنل داراي صلاحيت و مجوز انجام مي‌شود؟
    1- آيا کليه مميزي‌هاي سيستم‌هاي عملياتي جهت به‌حداقل رساندن ريسک شکست فرآيندهاي سازمان، به درستي طرح‌ريزي شده‌اند؟
    2- آيا بازه نيازمندي‌هاي مميزي مورد تاييد مدير مربوطه مي‌باشد؟
    1- آيا دسترسي به ابزارها و اطلاعات مميزي سيستم‌هاي اطلاعات، به درستي محافظت مي‌شوند که از سوء استفاده‌ها و به خطر افتادن‌هاي احتمالي جلوگيري شود؟
    2- آيا ابزارهاي مميزي سيستم‌هاي اطلاعاتي از سيستم‌هاي عملياتي و توسعه جدا شده اند؟  در صورتي که جدا نشده باشند بايد سطح بالاتري از حفاظت براي آنها فراهم شود.
    tadbirafza-favicon
    آکادمی تدبیرافزا

    عنوان سند:

    چك ليست تخصصي مميزي داخلي ISMS – ISO 27001

    چك ليست تخصصي مميزي داخلي سيستم مديريت امنيت اطلاعات

    الزامات سیستم های مدیریت امنیت اطلاعات (ISMS)

    27001 ISO

    1- آيا خط‌مشي امنيت اطلاعاتي که مورد تاييد مديريت قرار گرفته باشد و منتشر شده و به اطلاع کليه كاركنان رسيده باشد وجود دارد؟                                      2- آيا خط‌مشي، تعهد مديريت و رويکرد سازمان نسبت به سيستم‌ مديريت امنيت اطلاعات را بيان مي کند؟
    1-آيا خط مشي امنيت اطلاعات در بازه هاي زماني برنامه ريزي شده يا در صورت وقوع تغييرات قابل توجه بازبيني شده است تا از تداوم اثربخشي، بسندگي و مناسب بودن آن اطمينان حاصل شود؟

    2-آيا خط مشي امنيت اطلاعات داراي يک مالک که از سوي مديريت مسئول توسعه، بازبيني و ارتقاء خط مشي امنيت باشد، مي باشد؟
    3-آيا رويه اي براي بازبيني خط مشي امنيت وجود دارد و الزامات بازبيني مديريت را برآورده مي کند؟

    4-آيا نتايج بازبيني مديريت به اجرا در مي آيند؟

    5-آيا تأييد مديريت در زمينه خط مشي بازبيني شده دريافت مي شود؟
    1- آيا مديريت به صورت فعالانه از فعاليت‌هاي امنيت اطلاعات درون سازمان پشتيباني مي‌کند؟ (اين امر مي تواند از طريق نشان دادن جهت‌گيري شفاف و تعهد اثبات شده و همچنين تخصيص مسووليت‌هاي امنيت اطلاعات به صورت روشن انجام شود.)
    1- آيا كميته‌اي شامل افراد مسوول از بخش‌هاي مختلف سازمان براي هماهنگ‌سازي در اعمال سياست‌ها و امنيت وجود دارد؟
    1- آيا مسووليت‌ها براي حفاظت از دارايي‌هاي اطلاعاتي و انجام فرآيندهاي امنيتي مشخص، بصورت شفاف در سازمان تعريف شده است؟
    1- آيا يك فرآيند مديريت مجوز دهي مناسب براي امكانات و ابزار جديد پردازش اطلاعات وجود دارد؟
    1- آيا توافق‌نامه‌هاي محرمانگي كه انعكاس‌دهنده نيازهاي سازماني درخصوص حفاظت از اطلاعات مي‌باشد، بصورت صريح مدون شده و بازبيني ادواري شده است؟     2- آيا اين توافق‌نامه با استفاده از بندهاي قانوني قابل اجرا، نيازهاي سازمان را براي حفاظت اطلاعات محرمانه برآورده مي‌کند؟
    1- آيا سازمان شما با مراجع تنفيذ قوانين و هيات‌هاي سازمان‌دهنده و اولياي امر (مثل مسوول حفاظت، نيروهاي انتظامي و اطفاي حريق)‌ مرتبط تعامل مناسب برقرار ساخته است و نحوه گزارش دادن حوادث مشخص شده است؟
    1- آيا سازمان شما با انجمن‌ها، گروه‌هاي امنيتي متخصص (جهت آگاهي از آخرين تغييرات و آسيب پذيري‌هاي شناسايي شده) تعامل مناسب برقرار ساخته است؟
    1- آيا رويکرد سازمان نسبت به مديريت امنيت اطلاعات و پياده‌سازي آن در بازه‌هاي زماني برنامه‌ريزي شده يا هنگام وقوع تغييرات عمده در پياده‌سازي امنيت بصورت مستقل مورد بازنگري قرار مي‌گيرد؟
    1- آيا ريسك‌هايي كه سازمان در مواجه با پيمانكاران بيروني با آنها برخورد خواهد كرد، مشخص و كنترل‌هاي لازم براي برخورد با آنها پياده‌سازي شده است؟             2- آيا الزامي جهت شناسايي و اعلام ريسک‌هاي مربوط به هر پيمانکار توسط ذينفع مربوطه قبل از عقد قرارداد در سازمان وجود دارد؟
    1- آيا نيازهاي امنيتي سازمان قبل از دسترسي مشتريان به اطلاعات يا دارايي‌هاي سازمان مشخص شده است؟
    1- آيا سياست‌هاي مدون براي كار با پيمانكاران وجود دارد كه چگونگي رعايت مسائل امنيتي را در قرارداد و شرح کار فيمابين بيان كند؟
    1- آيا فهرستي از كليه اموال تهيه شده است؟             2- آيا فهرست اموال مهم شناسايي شده و نگهداري مي‌گردد؟
    1- آيا مالكيت تمام اطلاعات و دارايي‌هاي سازمان توسط هر كدام از بخشهاي مختلف سازمان مشخص شده است؟
    1- آيا قوانيني جهت استفاده مقبول از اطلاعات و دارايي‌هاي مرتبط با امكانات پردازش اطلاعات مشخص، مستند و پياده‌سازي شده است؟
    1- آيا اطلاعات سازمان از منظر ارزش، الزامات قانوني و قراردادي جهت حفظ محرمانگي، رعايت ساير الزامات و حساسيت آنها طبقه‌بندي شده است؟
    1- آيا رويه‌هاي مناسبي جهت به‌كارگيري و نام‌گذاري اطلاعات، منطبق با طرح‌هاي طبقه‌بندي پذيرفته شده توسط آن سازمان وجود دارد؟
    1- آيا وظايف و مسووليت‌هاي امنيتي كاركنان، پيمانكاران و اشخاص ثالث مطابق با خط‌مشي امنيتي سازمان مشخص و مدون شده است؟
    2- آيا نقش‌ها و مسووليت‌ها تعريف شده‌اند و در طي فرآيند پيش از استخدام به روشني به آگاهي متقاضيان استخدام رسانده مي‌شود؟
    1- آيا سابقه كاركنان دايم، پيمانكاران و كاركنان موقت در زمان استخدام مطابق قوانين مربوطه از نظر امنيتي كنترل مي‌شود؟
    2- آيا ادعاهاي متقاضيان در زمينه تحصيلات و سوابق کاري و هويتشان بررسي مي‌شوند؟
    1- آيا از کاركنان، پيمانکاران و کاربران شخص ثالث خواسته مي‌شود که به عنوان يکي از شرايط اوليه استخدام يا همکاري، قرارداد عدم افشا يا محرمانگي را امضا کنند؟
    2- آيا اين قراردادها، مسووليت‌ها و الزامات امنيتي سازمان و كاركنان، پيمانکاران و کاربران شخص ثالث را پوشش مي‌دهد؟
    1- آيا مديريت سازمان كاركنان، پيمانكاران و اشخاص ثالث را ملزم به رعايت تدابير امنيتي مطابق با رويه‌ها و خط‌مشي امنيتي سازمان طي مدت کار با سازمان مي‌نمايد؟
    1- آيا به كاركنان سازمان، وابستگان و كاربران شخص ثالث آموزش و آگاهي منظم در ارتباط با رويه‌ها و تدابير امنيت سازمان داده مي‌شود؟
    1- آيا براي افرادي كه قوانين امنيتي را رعايت نمي‌كنند و يا بعضا آنها را نقض مي‌نمايند، جرايمي در نظر گرفته شده است؟
    1- آيا مسووليت‌ها و وظايف مرتبط با تغيير يا خاتمه استخدام يك كارمند بصورت صريح و شفاف به وي اعلام و نسبت داده شده مي‌شود؟
    1- آيا فرآيندي وجود دارد که طي آن اطمينان حاصل شود كاركنان، پيمانكاران و اشخاص ثالث به هنگام خاتمه قرارداد و يا استخدام خود، دارايي‌هاي سازمان را بر مي‌گردانند؟
    1- آيا مجوزهاي دسترسي كاركنان، پيمانكاران و اشخاص ثالث به اطلاعات و امكانات پردازش اطلاعات بعد از خاتمه استخدام و يا قرارداد و يا هنگام جابجايي از بين برده و يا حسب نياز تغيير داده مي‌شود؟
    1- آيا تسهيلاتي مثل ورودي‌هاي کنترل کارت يا قسمت پذيرش، براي حفاظت از ابزارهاي پردازش اطلاعات پياده سازي شده‌اند؟
    1- آيا نواحي حساس سازمان توسط كنترل‌هاي ورودي فيزيكي كه فقط امكان ورود به افراد مجاز را مي‌دهد، محافظت مي‌شود؟
    1- آيا امنيت فيزيكي براي ساختمان‌ها، اتاق‌ها و دفاتري که داراي ابزارهاي پردازش اطلاعات هستند، طراحي و پياده سازي شده است؟
    1- آيا حفاظت فيزيكي جهت مقابله با خرابي حاصل از بلاهاي طبيعي يا محصول دست بشر طراحي و به‌كار گرفته شده است؟
    1- آيا راهنما و دستورالعمل كار در مناطق حفاظت شده و حساس تدوين و به‌كار گرفته شده است؟ (مثل ورود تجهيزات ضبط صدا و تصوير به نواحي حساس، قفل‌کردن نواحي حساس که پرسنلي در آنجا حضور ندارد.)
    1- آيا مكان‌هاي تحويل و بارگذاري كنترل شده و درصورت امكان جهت اجتناب از دسترسي‌هاي غير‌مجاز از تاسيسات پردازش اطلاعات جدا شده‌اند؟
    1- آيا تجهيزات در برابر خطرات ناشي از حوادث و يا دسترسي افراد غيرمجاز محافظت شده‌اند؟
    1- آيا تجهيزات از قطع برق و ديگر خرابي‌هاي حاصل از تاسيسات پشتيباني محافظت شده است؟
    2- آيا عملکرد منابع برق مثل منبع چندگانه، منبع غيرفابل قطع (ups)، ژنراتورهاي پشتيباني و غيره بهينه شده‌اند؟
    1- آيا كابل كشي‌هاي برق و ديتا در مقابل خرابي و شنود محافظت شده‌اند؟ آيا کنترل‌هاي امنيتي ديگري اضافه بر موارد ذکر شده براي اطلاعات حساس يا مهم وجود دارند؟
    1- آيا تجهيزات پردازش، انتقال و نگهداري اطلاعات جهت بهره‌برداري مداوم بطور مناسبي تعمير و نگهداري مي‌شوند؟
    2- آيا تجهيزات مطابق دوره‌هاي زماني و شرايط توصيه شده از سوي تامين‌کننده، بازبيني مي‌شوند؟
    3- آيا تعمير و نگهداري تنها توسط كاركنان که مجوز آن کار را دارد؟
    1- آيا مخاطرات هرگونه استفاده از تجهيزات خارج از مرزهاي سازمان ارزيابي شده‌اند و کنترل‌هاي اصلاحي به‌کار گرفته شده‌اند؟
    2- آيا مديريت مجوز استفاده از تسهيلات پردازش اطلاعات در خارج مرزهاي سازمان را صادر کرده است؟
    1- آيا اطلاعات را از روي ابزار مثل هارد و يا ديسك قبل از دور انداختن يا استفاده مجدد پاك مي‌كنيد؟
    2- آيا قبل از پاک‌کردن به الزامات نگهداري اطلاعات مربوطه واقفيد؟ (مثل software license)
    1- آيا پاك‌كردن اطلاعات از روي سيستم يا خارج‌كردن سخت افزار و تجهيزات و اطلاعات از شركت نياز به مجوز مديريت دارد؟
    1- آيا رويه‌هاي عملياتي از لحاظ تدابير امنيتي، مستند سازي، نگهداري، بروزرساني و در اختيار و دسترسي كاربران داراي مجوز قرار داده شده ميشود؟
    2- آيا چنين رويه‌هايي به عنوان مستندات رسمي در نظر گرفته مي شوند، در نتيجه براي اعمال تغييرات در آنها نياز به اجازه مديريت دارد؟
    1- آيا تغيير و تحول در سيستم و ابزارهاي پردازش اطلاعات مثل سرويس‌ها و نرم‌افزارهاي اصلي كنترل و مديريت مي‌شود؟
    1- آيا تفكيك وظايف و مسووليت‌ها جهت جلوگيري از فرصت‌طلبي افراد غير‌مجاز در تغيير و سوء استفاده از اطلاعات و تجهيزات، در سازمان وجود دارد؟
    1- آيا تجهيزات و امکانات بخش طراحي و تست از بخش اپراتوري و عملياتي جدا مي باشد؟ براي مثال نرم‌افزار توسعه و توليد بايد در کامپيوترهاي جداگانه‌اي اجرا شوند. درصورت لزوم شبکه‌هاي توسعه و توليد بايد از يکديگر جدا باشند.
    1- آيا كنترل‌هاي امنيتي، تعاريف خدمات و سطوح ارايه در قراردادهاي ارايه خدمات شخص ثالث درج و توسط شخص ثالث اجرا مي‌گردد؟
    1- آيا بطور منظم خدمات و گزارش‌هاي تهيه شده توسط شخص ثالث نظارت و بازبيني مي‌شود تا از تماميت اجراي مفاد قرارداد/ توافقنامه و رعايت الزامات امنيتي اعلام شده به ايشان اطمينان حاصل نماييد؟
    1- آيا تغيير در قوانين و چگونگي ارايه خدمات شخص ثالث مانند بهبود خط‌مشي امنيت اطلاعات، رويه‌ها و كنترل‌هاي موجود به درستي مديريت مي‌شود و درصورت تغيير مجددا ريسك‌ها ارزيابي مي‌شود؟
    2- آيا  در اين زمينه به اهميت سيستم هاي کسب و کار، فرآيندها و ارزيابي مجدد مخاطرات توجه مي شود؟
    1- آيا استفاده از منابع هميشه رديابي شده و فضاي ذخيره‌سازي مورد نياز مدام بررسي مي‌شود و پيش بيني براي نياز‌هاي آينده انجام مي‌شود تا همواره توان محاسباتي و حافظه كافي داشته باشيد؟ (مديريت ظرفيتها) براي مثال، فضاي هارد ديسک، RAM و CPU در سرورهاي مهم.
    1- آيا قبل از قبول سيستم‌هاي جديد و يا ارتقاي سيستم‌هاي قديم، جهت ارزشيابي اين سيستم‌ها، معيارهاي خاصي برقرار مي‌شود؟
    2- آيا قبل از قبول اين سيستم‌ها آزمايش‌هاي مناسبي انجام مي‌شود؟
    1- آيا روش‌هاي تشخيص و محافظت در مقابل كدهاي مخرب و نيز روش‌هايي جهت اطلاع‌رساني مستمر به كاربران وجود دارد؟
    1- آيا تنها از کدهاي قابل انتقال داراي مجوز استفاده مي‌شود؟
    2- آيا تنظيمات بصورتي است که اطمينان حاصل کنيم کدهاي قابل انتقال مجوزدار براساس خط‌مشي امنيت عمل مي‌کنند؟
    3- آيا از اجرا‌شدن کدهاي قابل انتقال بدون مجوز جلوگيري مي‌شود؟
    1- آيا از اطلاعات حياتي و نرم افزارها بصورت مرتب و ادواري مطابق با سياست پشتيبان‌گيري، پشتيبان تهيه مي‌شود؟
    2- آيا همه اطلاعات ضروري و نرم‌افزارها بعد از يک حادثه يا از کار افتادن رسانه‌ها، قابل بازيابي هستند؟
    1- آيا مجموعه‌اي از كنترل‌ها جهت ايجاد و برقراري امنيت شبكه اعمال مي‌شود؟ (مثل وظيفه نگهداري شبکه كه از نگهداري سرورها جدا شده است.)
    2- آيا سرويس‌هاي شبکه به لحاظ اطمينان از حفظ سه محور امنيت اطلاعات پايش مي‌شوند؟
    3- آيا کنترل‌هايي براي حصول اطمينان از تامين امنيت اطلاعات در شبکه  و حفاظت خدمات در برابر تهديدهايي مثل دسترسي غيرمجاز پياده سازي شده اند؟
    1- آيا موارد امنيتي، سطوح سرويس و مديريت لازم در سرويس هاي شبكه مدون و در قراردادهاي ارايه خدمات شبكه چه به صورت داخلي و چه به صورت برون سپاري لحاظ مي گردد؟
    2- آيا توانايي ارايه‌کننده خدمات شبکه در مديريت خدمات به صورت ايمن ارزيابي شده است و به صورت پيوسته تحت كنترل است؟
    1- آيا رويه‌هايي براي مديريت رسانه‌هاي كامپيوتري قابل حمل مانند فلش درايوها، ديسك‌ها و گزارشات چاپ شده وجود دارد؟   2- آيا مدياهاي داراي قابليت استفاده دوباره مثل هارد ديسک و … که به محتوي آنها نيازي نيست هنگام خروج از سازمان پاکسازي بصورت غير‌قابل بازگشت مي‌شود؟
    1- آيا رويه‌ايي براي انهدام امن رسانه‌هاي كامپيوتري که ديگر مورد نياز نيستند (مانند ديسك و غيره) ايجاد شده است؟
    1- آيا رويه‌اي براي كار و ذخيره‌سازي اطلاعات جهت محافظت در مقابل سوء استفاده و يا فاش‌شدن غير‌مجاز  هنگام گردش کار وجود دارد؟ (ملاحظات نحوه ارسال اطلاعات خاص و…)
    1- آيا مستندات سيستم‌ها در مقابل دسترسي غير‌مجاز محافظت ميشود؟
    1- آيا سياست‌ها، رويه‌ها و كنترل‌هايي جهت حفظ تماميت اطلاعات و رد و بدل دستي يا الكترونيكي اطلاعات و نرم افزارها از طريق تمام رسانه‌هاي ارتباطي وجود دارد؟
    2- آيا رويه و کنترل به‌کار گرفته شده، حوزه مبادله الکترونيک اطلاعات را نيز پوشش مي دهند؟
    1-آيا توافقاتي جهت رد و بدل دستي يا الكترونيكي اطلاعات و نرم افزار بين سازمانها ( سازمان شما و ديگر سازمانها) وجود دارد (مثل استفاده از امضاي ديجيتال، معرفي سرويس دهنده courier و يا اعلام نوع Labeling داده هاي تبادلي) ؟
    2-آيا توافقنامه ها با توجه به حساسيت داده هاي تجاري مبادله شده تنظيم شده اند؟
    1- آيا رسانه‌هاي حامل اطلاعات سازمان حين حمل و نقل خارج از مرزهاي سازمان در مقابل دسترسي غير‌مجاز، سوء استفاده و يا خرابي محافظت شده است؟ (استفاده از سرويس دهنده مناسب و تاييد شده، استفاده از کيف امن هنگام تبادل اطلاعات، نحوه بسته‌بندي و …)
    1- آيا اطلاعات در هنگام ارسال پيام الكترونيكي (E-Mail, Chat, SMS,…) بصورت مناسب محافظت مي‌شوند؟
    1- آيا سياست‌ها و رويه‌هاي لازم جهت حفاظت اطلاعات مرتبط با ارتباطات داخلي سيستم‌هاي اطلاعاتي سازمان مدون و پياده‌سازي شده است؟ (مثل اطلاعات مشترک و يا دسترسي به اطلاعاتي که بصورت خاص در اختيار افراد خاصي است و و افشاي آن از طريق امکانات مربوطه سيستم هاي داخلي ميسر است)
    1- آيا اطلاعات مرتبط با تجارت الكترونيكي در هنگام نقل و انتقال بر روي شبكه‌هاي عمومي از جهت تخريب اطلاعات، فعاليت‌هاي كلاه‌برداري يا دسترسي غيرمجاز محافظت مي‌شوند؟
    2- آيا کنترل‌هاي امنيتي مثل کنترل‌هاي رمزگذاري مورد استفاده قرار گرفته‌اند؟
    3- آيا توافقات تجارت الکترونيكي بين طرفين شامل به صورت مدون تعهد هر دو طرف را به شرايط مورد توافق و مسائل امنيتي نشان بدهد، مي شود؟
    1- آيا اطلاعات در هنگام معاملات برخط از انتقال ناقص، تغيير غير‌مجاز پيام، افشاي غير‌مجاز و نسخه‌برداري غير‌مجاز از پيام محافظت مي‌شود؟
    1- آيا يكپارچگي اطلاعات موجود در سيستم‌هاي قابل دسترس عموم از تغيير غير‌مجاز محافظت مي‌شود؟
    1- آيا رويدادهاي حاصل از فعاليت‌هاي كاربران، خطاها و رويدادهاي مرتبط با امنيت اطلاعات توليد و طي زمان مشخصي نگهداري مي‌شود؟
    1- آيا رويه‌اي براي تحت نظارت داشتن (رديابي) استفاده از ابزار پردازش اطلاعات وجود داشته و آيا حاصل اين نظارت‌ها بصورت ادواري بررسي مي‌شود؟
    2- آيا سطح نظارت مورد نياز براي تسهيلات پردازشگر اطلاعات با توجه به ارزيابي مخاطرات شناسايي شده است؟
    1- آيا ابزارهاي ثبت رويداد يا اطلاعات رويدادها از دسترسي غير‌مجاز محافظت مي‌شود؟
    1- آيا رويدادهاي مرتبط با فعاليت هاي اپراتور و مدير شبكه سيستم ثبت مي‌شود؟
    2- آيا فعاليت‌هاي ثبت رويدادها بصورت منظم بازبيني مي‌شوند؟
    1- آيا رويدادهاي مرتبط با خطاهاي اتفاق‌افتاده ثبت، تحليل و اقدامات مناسب انجام مي‌پذيرد؟
    2- آيا سطح مورد نياز براي ثبت رويدادها براي سيستم‌هاي افراد، با توجه به ارزيابي مخاطرات شناسايي شده است؟
    1- آيا ساعت تمام كامپيوترها و سيستم‌ها جهت ثبت اطلاعات دقيق با يك منبع زماني دقيق همزمان مي‌شوند؟ (يکسان بودن ساعت کامپيوترها از جهت دقت رويدادهاي بازبيني مهم مي‌باشد.)
    1- آيا يک خط‌مشي براي کنترل دسترسي توسعه داده شده است و براساس نيازهاي امنيتي و کسب و کار بازبيني مي‌شود؟
    2- آيا در خط‌مشي به کنترل دسترسي از هر دو ديد فيزيکي و منطقي توجه شده است؟
    3- آيا به کاربران و ارايه‌کنندگان خدمات يک اظهارنامه واضح و روشن درباره اهداف سازمان ارايه شده است؟
    1- آيا رويه‌اي رسمي براي ثبت و يا خارج‌كردن كاربر از ثبت كاربران در سيستم‌هاي اطلاعاتي كه چندين كاربر دارند وجود دارد؟
    1- آيا تخصيص يا استفاده از هرگونه حق دسترسي در محيط سيستم‌هاي اطلاعاتي محدود و کنترل شده است؟ (براي مثال حق دسترسي براساس نياز کاربر تخصيص داده شده است يا اينکه بعد از اينکه بصورت رسمي کاربر مجاز شد به او دسترسي داده مي‌شود.)
    1- آيا دادن كلمه عبور و تغيير آن تحت يك فرآيند مديريت رسمي مي‌باشد؟
    2- آيا از کاربران درخواست مي‌شود تا اظهارنامه‌اي را مبني بر اينکه رمز عبور را محرمانه نگه مي دارند، امضا‌ کنند؟
    1- آيا بصورت ادواري و منظم و توسط يك فرآيند رسمي، حد و مرز دسترسي افراد مديريت مي‌شود؟ (مثال بازبيني ويژه در هر 3 ماه يکبار و بازبيني معمولي هر 6 ماه يکبار انجام شود.)
    1- آيا كاربران الزامي به دنبال كردن روشهاي امنيتي مناسب جهت انتخاب و استفاده از كلمه عبور دارند؟(مثلا تعداد حروف و نوع كاراكترها).
    1- آيا كاربران و پيمانکاران ملزم به رعايت اصول امنيتي در مورد تجهيزات بدون متصدي، (تجهيزات عمومي مانند چاپگر تحت شبکه و ترمينالهاي عمومي کاري) مي‌باشند؟ براي مثال بعد از اينکه کارشان با دستگاه تمام شد، دستگاه را Logoff کنند.
    1- آيا سياست ميز تميز براي كاغذها و حافظه‌هاي قابل حمل و صفحه نمايش تميز براي ابزارهاي پردازش اطلاعات جهت حفاظت اطلاعات از دسترسي‌هاي غيرمجاز و آسيب‌ديدن و يا گم‌شدن اطلاعات اجرا مي‌شود؟
    1- آيا كاربران تنها اجازه دسترسي مستقيم به سرويس‌هاي خاصي را كه مجاز به استفاده از آنها مي باشند، را دارند؟
    آيا سياستي در زمينه شبکه‌ها و خدمات شبکه‌ها وجود دارد؟
    1- آيا براي افرادي كه از راه دور به كامپيوترهاي شركت متصل مي شوند، روش‌هايي جهت احراز هويت وجود دارد؟ (مانند روش‌هاي رمزنگاري)
    1- آيا شناسايي اتوماتيك تجهيزات به عنوان ابزاري جهت تاييد اعتبار اتصالات از يك مكان يا وسيله مشخص وجود دارد؟
    1- آيا دسترسي فيزيكي و منطقي به پورت‌هاي عيب‌يابي و برنامه‌ريزي، كنترل امنيتي مي‌شود؟
    1- آيا كنترل‌هاي مناسبي در شبكه جهت تفكيك گروه‌هاي سيستم‌هاي اطلاعاتي، كاربران و سرويس‌هاي اطلاعاتي مانند VLAN وجود دارد؟
    2- آيا شبکه (در حالتي که شرکاي تجاري يا اشخاص ثالث نياز به دسترسي به سيستم اطلاعاتي داشته باشند) با استفاده از مرزهاي امنيتي مثل ديوار آتش امن شده‌ است؟
    1- آيا سياست کنترل دسترسي در زمينه قابليت اتصال کاربران به شبكه‌هاي مشترك به خصوص آنهايي که گستره‌اي فراي مرزهاي سازمان دارند، وجود دارد؟
    1- آيا شبكه‌هاي مشترك از كنترل‌هاي مسيريابي مناسب جهت اتصال كامپيوترها و حركت اطلاعات در شبكه بنحوي كه از سياست کنترل دسترسي پيروي شود، استفاده مي‌نمايند؟
    2- آيا کنترل‌هاي مسيريابي براساس positive source و مکانيسم شناسايي مقصد مي‌باشند؟
    1- آيا ارتباط با سيستم‌هاي عامل از طريق رويه Logon بصورت امن انجام مي‌شود؟
    1-آيا كاربران از جمله اپراتورها، راهبر شبکه و همه کارمندان ديگر داراي يك ID مشخص جهت رديابي فعاليت هاي آنان مي باشند؟ و آيا روش احراز هويت كاربر جهت اطمينان از اينكه فرد همان است كه ادعا مي كند، وجود دارد؟
    2-آيا account کاربر عام تنها در شرايط خاصي که يک مزيت تجاري وجود دارد تخصيص داده مي شوند و از کنترل هاي اضافي براي ايجاد مسئوليت پذيري استفاده مي شود؟
    1- آيا سيستم‌هاي مديريت كلمات عبور جهت به‌كارگيري درست كلمه عبور به‌كار رفته است؟
    (مانند ذخيره كلمه عبور با روش‌هاي رمزي، عدم نمايش كلمه عبور روي صفحه و تغيير ادواري كلمه عبور)
    1- آيا استفاده از برنامه‌هاي خدماتي كه قابليت ايجاد مشكل براي سيستم و کنترل‌ها را دارند، داراي محدوديت بوده و به شدت كنترل مي‌شوند؟
    1- آيا Session‌هاي برنامه‌هاي کاري و يا ارتباطي پس از مدت مشخصي غيرفعال بودن بسته خواهند شد؟
    (براي بعضي از سيستم‌ها مي‌توان از شکل محدود شده سيستم خاتمه استفاده کرد، به اين صورت که صفحه را پاک کند و از دسترسي غيرمجاز جلوگيري کند اما برنامه يا Session شبکه را کاملا نبندد
    1- آيا محدوديتي برروي زمان اتصال به سرويس‌هاي با ريسك بالا به جهت افزايش امنيت وجود دارد؟ اين نوع تنظيمات بهتر است براي سرويس‌هاي حساس که ترمينال‌هاي آنها در مناطق پرمخاطره نصب شده‌اند به‌کارگرفته شود.
    1- آيا دسترسي به اطلاعات و سيستم‌هاي كاربردي، مطابق با قواعد كنترل دسترسي، محدود مي‌باشد؟
    1- آيا سيستم‌هاي حساس، يك محيط پردازش خاص (يا مجزا) دارند؟ براي مثال در يک کامپيوتر مجزا اجرا شوند يا تنها با سيستم‌هاي مورد اعتماد تبادل اطلاعات دارند.
    1- آيا قواعد مدون و كنترل‌هاي مناسبي (مثل ايجاد پشتيبان از اطلاعات آنها، نگهداري مناسب فيزيکي از آنها و …)‌جهت محافظت شما در مقابل ريسك‌هاي استفاده از تسهيلات ارتباطي و پردازش سيار مثل palmtops, laptops، کارت‌هاي هوشمند و تلفن‌هاي موبايل وجود دارد؟ 2-آيا در سياست پردازش سيار به مخاطرات کار کردن در محيط هاي بدون محافظ توجه شده است؟
    1- آيا قواعد، رويه‌ها و استانداردي مناسب جهت اجازه و كنترل فعاليت‌هاي از راه دور وجود دارد؟
    1- آيا موقع طراحي سيستم‌هاي جديد و يا بهبود سيستم‌هاي موجود نيازهاي امنيتي را به عنوان بخشي از نيازهاي تجاري خود مي‌گنجانيد؟ (هرچه ارزش تجاري بيشتر باشد بايد ارزش امنيتي آن هم بيشتر در نظر گرفته شود.)
    2- آيا در فازهاي اوليه پروژه هاي سيستم هاي اطلاعاتي، الزامات سيستم در زمينه امنيت اطلاعات و فرآيندهاي لازم براي پياده سازي اين نيازمندي ها در نظر گرفته مي شوند؟
    1- آيا داده‌هايي را که به سيستم‌هاي کاربردي ارسال مي‌شود قبلا چک مي‌کنيد تا از صحت آنها مطمئن شويد؟ مثلا آيا انواع مختلف داده به سيستم اعمال مي‌شود تا پيام‌هاي خطا تست شوند؟ درصورت رخداد خطا چه کارهايي بايد انجام شود؟ وظايف اپراتورها چيست؟
    1- آيا تست سنجش اعتبار درون برنامه ها قرار داده شده است تا  هرگونه تحريف اطلاعات را از طريق پيغام هاي خطا يا اقدامات حساب شده شناسايي کند؟
    2- آيا طراحي و پياده سازي برنامه ها به گونه اي هست که خطر وقوع اشتباه در پردازش را حداقل سازد؟
    1- آيا الزامات حفاظت از يکپارچگي پيام‌ها در برنامه‌ها شناسايي شده است و کنترل‌هاي مناسب شناسايي و نصب شده‌اند؟
    2- آيا با توجه به ارزيابي ريسک، نياز به يکپارچه‌سازي پيام وجود دارد و مناسب‌ترين شيوه پياده‌سازي آن چه مي‌باشد؟
    1- آيا خروجي سيستم‌ها را بررسي مي‌کنيد تا از صحت پردازش داده‌هاي ذخيره شده اطمينان حاصل شود؟
    1- آيا سازمان سياستي در زمينه استفاده از روشهاي رمزنگاري براي حفاظت از اطلاعات دارا مي باشد؟
    2- آيا اين سياست با موفقيت اجرا شده است؟
    3- آيا سياست رمزگذاري با توجه به رويکرد مديريت نسبت به استفاده از کنترل هاي رمزگذاري، نتايج ارزيابي ريسک، روش هاي  مديريتي کليد و استاندارهاي مختلف پياده سازي اثربخش تدوين شده است؟
    1-آيا مديريت کليد براي پشتيباني از روشهاي رمزنگاري برقرار گرديده است؟
    2-آيا کليدهاي رمزنگاري در برابر تخريب، اعمال تغيير و گم شدن محافظت مي شوند؟
    3-آيا کليدهاي رمزي و عمومي (Secret and Private) در برابر افشا شدن بودن مجوز حفاظت مي شوند؟
    4-آيا تجهيزاتي که براي توليد کليدهاي share استفاده مي شوند از نظر فيزيکي محافظت مي شوند؟
    5-آيا سيستم مديريت کليد براساس مجموعه استاندارها، رويه هاو روش هاي ايمني است که در مورد آنها توافق وجود دارد؟
    1- آيا رويه‌اي براي کنترل نصب نرم‌افزار روي سيستم‌هاي عملياتي وجود دارد؟ (هدف از اين کنترل حداقل نمودن خطر خراب شدن سيستم‌هاي عملياتي است.)
    1-آيا داده‌هايي که براي تست سيستم استفاده مي‌شود کنترل شده و محافظت شده مي‌باشد؟
    2- آيا استفاده از اطلاعات شخصي يا هر اطلاعات حساس ديگر براي تست نمودن بانک اطلاعاتي عملياتي اجتناب شده است؟
    1- آيا دسترسي به کتابخانه‌هاي کد برنامه‌ها تحت کنترل و نظارت مي‌باشد؟
    1- آيا رويه کنترلي دقيقي براي اعمال تغييرات در سيستم‌هاي اطلاعاتي وجود دارد؟ (هدف از اين کنترل حداقل‌‌کردن خرابي سيستم اطلاعاتي است.)
    2- آيا اين رويه به نياز موجود براي ارزيابي مخاطرات و تحليل تاثيرات تغييرات، مي‌پردازد؟
    1- آيا رويه يا فرآيندي براي تست و بررسي برنامه‌هاي كاربردي مهم سازمان از جهت امنيتي يا عملياتي بعد از اعمال تغييرات در سيستم عامل وجود دارد؟
    ضرورت دارد بصورت دوره‌اي سيستم عامل ارتقا يابد براي مثال مجموعه خدمات، وصله‌ها، hot fixes و غيره برروي آن نصب شود.
    1- آيا محدوديت يا ممنوعيتي درخصوص تغيير بسته‌هاي نرم‌افزاري اعلام شده است؟
    2- آيا همه تغييرات به دقت کنترل مي‌شوند؟
    1- آيا کنترل‌هايي براي جلوگيري از نشت اطلاعات به کارگرفته شده‌اند؟
    2- آيا کنترل‌هايي مثل اسکن نمودن outbound media، نظارت منظم بر كاركنان و فعاليت‌هاي سيستم که با توجه به قوانين محلي مجاز هستند و پايش استفاده از منابع، مورد توجه قرار گرفته‌اند؟
    1- آيا از نظر امنيتي کنترلي بر روي طراحي و توسعه نرم‌‌افزارهاي برون‌سپاري شده وجود دارد؟ (کنترل مالکيت معنوي، الزام قراردادي در زمينه تضمين کيفيت،‌ تست پاکي نرم‌افزار و عاري‌ بودن آن از شکاف‌هاي امنيتي و کدهاي مخرب قبل از عملياتي‌کردن آن)
    1- آيا اطلاعات بهنگام درخصوص آسيب‌پذيري‌هاي فني سيستم‌هاي اطلاعاتي سازمان استخراج شده و احتمال قرار‌گرفتن سازمان در معرض اين آسيب پذيري‌ها ارزيابي شده است؟
    2- آيا اقدامات پيشگيرانه لازم جهت كاهش ريسك انجام مي پذيرد (Patch Management)؟
    1- آيا وقوع حوادث مرتبط با امنيت اطلاعات سازمان از طريق كانال‌هاي مديريتي مناسب و در اسرع وقت گزارش مي‌شود؟
    2- آيا رويه گزارش‌دهي رسمي رويدادهاي امنيت اطلاعات، واکنش نشان دادن به حوادث و رويه escalation ، توسعه و پياده‌سازي شده‌اند؟
    1- آيا كاركنان، كاربران و اشخاص ثالث كاربر سيستم‌هاي اطلاعاتي، ملزم شده‌اند كه درصورت مشاهده هرگونه نقطه ضعف امنيتي در سيستم‌ها و سرويس‌ها، مورد را گزارش نمايند؟
    1- آيا رويه‌ها و مسووليت‌هاي مديريتي جهت حصول اطمينان از پاسخ سريع و موثر به وقوع حوادث امنيت اطلاعات وجود دارد؟
    2- آيا از طريق زير نظر گرفتن سيستم‌ها، پيغام‌هاي هشدار و آسيب‌پذيري‌ها سعي مي‌شود، حوادث امنيت اطلاعات شناسايي شود؟
    3- آيا در زمينه اهداف مديريت حوادث امنيت اطلاعات با مديريت توافق صورت گرفته شده است؟
    1- آيا مكانيزمي جهت رديابي و تشخيص نوع، حجم و اندازه ضرر حادث شده از وقوع حوادث امنيت اطلاعات وجود دارد؟
    2- آيا اطلاعات بدست آمده از ارزيابي حوادث گذشته امنيت اطلاعات در جهت شناسايي حوادث تکرار شونده و مخرب به‌کار گرفته شده‌اند؟
    1- آيا بعد از وقوع يک حادثه امنيت اطلاعات پيگيري قانوني جهت شکايت از فرد يا سازمان مقصر انجام مي‌شود؟ 2- آيا مكانيزمي جهت جمع‌آوري، حفظ و ارايه شواهد مربوط به حادثه يا جرم امنيتي براي ارايه به محاكم قضايي وجود دارد؟
    3- آيا رويه‌هاي داخلي داخلي براي جمع آوري و ارائه شواهد جهت انجام اقدام تنبيهي درون سازمان توسعه داده شده و دنبال مي شوند؟
    1- آيا در سازمان، يك فرآيند مديريت شده جهت لحاظ كردن نيازمندي‌هاي امنيت اطلاعات در فرآيند مديريت تداوم كسب و كار وجود دارد؟
    2- آيا اين فرآيند مخاطرات پيشروي سازمان را در نظر مي‌گيرد و دارايي‌هاي مهم سازمان و تاثيرات حوادث را شناسايي مي‌کند؟ همچنين به پياده سازي کنترل هاي بازدارنده اضافي و مستند نمودن طرح هاي تداوم کسب و کاري که به نيازمندي هاي امنيت مي پردازند توجه دارد؟
    1- آيا ريسك‌هايي كه ممكن است سبب توقف فرآيندهاي كاري شود، شناسايي شده و احتمال وقوع و ميزان اثر مخرب آنها در حوزه امنيت اطلاعات تخمين زده شده است؟
    1-آيا برنامه اي براي راه اندازي مجدد عمليات و در دسترس قرار دادن اطلاعات در سطح مورد نياز و در حداقل زمان ممكن پس از وقوع خرابي يا نقص در فرآيندهاي كاري حياتي سازمان طراحي و پياده سازي شده است؟
    2-آيا طرح به شناسايي و موافقت در مورد مسئوليت ها، شناسايي زيان قابل قبول، اجراي عمليات بازيابي و رويه ترميم، مستند سازي رويه و آزمايش منظم رسيدگي مي کند؟
    1- آيا يک چارچوب واحد براي تدوام شرکت وجود دارد که سازگاري بخش‌هاي مختلف آن و اولويت‌ها براي تست و به‌ روز‌‌رساني رعايت شده باشد؟
    2- آيا طرح تداوم کسب و کار نيازمندي‌هاي شناسايي شده امنيت اطلاعات را در نظر مي‌گيرد؟
    1- آيا برنامه‌ريزي ادواري و منظم جهت مرور و به روز‌رساني و اطمينان يافتن از اثربخش بودن طرح‌هاي تدوام شرکت وجود دارد؟
    2- آيا در آزمايش‌هايي که در زمينه طرح تداوم کسب و کار انجام مي گيرد اطمينان حاصل مي شود که همه اعضاء تيم بازيابي و کارمندان مرتبط ديگر از طرح ها و مسئوليت هايشان در برنامه آگاهي دارند و مي دانند نقششان چيست؟
    1- آيا در مورد سازمان و كليه سيستم اطلاعاتي آن، تمام الزامات قراردادي، قانوني و مقرراتي سازمان و رويكرد سازمان در رعايت اين الزامات به طور صريح مشخص، مدون و به روز شده است؟
    2- آيا کنترل هاي ويژه و مسووليت‌هاي افراد در جهت رعايت اين الزامات تعريف شده و مستند مي‌باشد؟
    1- آيا نرم افزارها با ليسانس خريداري مي‌شوند؟
    2- آيا حقوق كپي رايت رعايت مي‌شود؟
    3- آيا رويه‌هايي براي حصول اطمينان از رعايت‌شدن الزامات قانوني، قراردادي و مقرارتي  وجود داشته و پياده‌سازي شده‌اند؟
    4- آيا کنترل‌هايي مثل: سياست رعايت حقوقنشر دارايي هاي فکري، رويه هاي خريد نرم افزار، اطلاع رساني و آگاهي سازي افراد از سياست ها، نگهداري سند مالکيت، رعايت شرايط و ضوابط نرم افزارها مورد توجه قرار گرفته اند؟
    1- آيا مدارک سازماني مطابق الزامات قانوني، قراردادي و مقرراتي در برابر خرابي و نابودي محافظت مي‌شوند؟
    2- آيا احتمال زوال رسانه‌اي که براي ذخيره‌کردن سوابق به‌کار رفته است، مورد توجه قرار گرفته است؟
    3- آيا سيستم‌هاي ذخيره‌سازي داده‌ها به نحوي انتخاب شده اند که بتوانيم داده هاي مورد نياز را در يک مدت زمان قابل قبول و فرمت مورد نظر با توجه به الزامات بازيابي شوند؟
    1- آيا حفاظت از اطلاعات پرسنلي و حريم شخصي مطابق قوانين و مقرارت مربوطه و درصورت لزوم مطابق با قرارداد صورت مي‌گيرد؟
    1- آيا کنترل‌هاي مديريتي جهت اعطاي مجوز استفاده از امکانات پردازش اطلاعات و پيشگيري از سوء استفاده از چنين امکاناتي وجود دارد؟
    2- آيا درصورت Log-on، قبل از وارد شدن يک پيغام هشدار بر روي صفحه کامپيوتر به نمايش در مي‌آيد؟
    3- آيا کاربر بايد پيغام را تصديق کند و به آن واکنش مناسبي نشان دهد تا بتواند فرآيند log-on را ادامه دهد؟
    آيا قبل از اينکه هرگونه رويه کنترلي اجرا شود مشورتي در زمينه موارد قانوني گرفته شده است؟
    1- آيا از كنترل‌هاي رمزنگاري مطابق با تمام قوانين، مقررات و توافقنامه‌هاي مرتبط استفاده مي‌شود؟
    1- آيا مديران از اجراي صحيح کليه رويه‌هاي امنيتي در محدوده مسووليتشان اطمينان حاصل مي‌کنند؟
    2- آيا مديران بصورت منظم انطباق تسهيلات پردازش اطلاعات درون محدوده خود را بر خط‌مشي و رويه امنيت اطلاعات بررسي مي‌کنند؟
    1- آيا سيستم‌هاي اطلاعاتي جهت تطبيق با استانداردهاي پياده‌سازي امنيت بطور منظم ارزيابي مي‌شوند؟
    2- آيا بررسي انطباق فني توسط يا زير نظر پرسنل داراي صلاحيت و مجوز انجام مي‌شود؟
    1- آيا کليه مميزي‌هاي سيستم‌هاي عملياتي جهت به‌حداقل رساندن ريسک شکست فرآيندهاي سازمان، به درستي طرح‌ريزي شده‌اند؟
    2- آيا بازه نيازمندي‌هاي مميزي مورد تاييد مدير مربوطه مي‌باشد؟
    1- آيا دسترسي به ابزارها و اطلاعات مميزي سيستم‌هاي اطلاعات، به درستي محافظت مي‌شوند که از سوء استفاده‌ها و به خطر افتادن‌هاي احتمالي جلوگيري شود؟
    2- آيا ابزارهاي مميزي سيستم‌هاي اطلاعاتي از سيستم‌هاي عملياتي و توسعه جدا شده اند؟  در صورتي که جدا نشده باشند بايد سطح بالاتري از حفاظت براي آنها فراهم شود.

    محصولات مشابه

    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    جدول الزامات امنيت اطلاعات در ساخت و بازسازي مكانهاي امن – ISO 27001

    تومان ۱۰.۰۰۰
    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    جدول تعيين سطح ريسک- ISO 27001

    تومان ۱۰.۰۰۰
    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    جدول تماس های اضطراری ICT- ISO 27001

    تومان ۱۰.۰۰۰
    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    جدول فعاليتهاي دوره اي ICT- ISO 27001

    تومان ۱۰.۰۰۰
    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    جدول كاربست‌ پذيري بندهاي استاندارد مدیریت امنیت اطلاعات- ISO 27001

    تومان ۱۰.۰۰۰
    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    جدول كنترل دسترسي به سيستم اشتراك فايل- ISO 27001

    تومان ۱۰.۰۰۰
    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    كاربرگ امحاء اطلاعات – ISO 27001

    تومان ۱۰.۰۰۰
    iso 27001 forms templates tadbirafza.com
    افزودن به سبد خرید

    كاربرگ مديريت دارايي- ISO 27001

    تومان ۱۰.۰۰۰

      نظرات شما:

      0 بررسی
      0
      0
      0
      0
      0

      دیدگاهها

      پاکسازی فیلتر

      هیچ دیدگاهی برای این محصول نوشته نشده است.

      اولین نفری باشید که دیدگاهی را ارسال می کنید برای “چك ليست تخصصي مميزي داخلي ISMS – ISO 27001”

      نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *