چک ليست الزامات عمومي مميزي داخلي ISMS
الزامات سیستم های مدیریت امنیت اطلاعات (ISMS)
27001 ISO
| آيا سندي که به صورت روشن دامنه سيستم مديريت امنيت اطلاعات را بر مبناي ويژگي هاي کسبوکار، سازمان، مکان، دارائيها و فناوري آن تعريف کند، وجود دارد؟ |
| آيا موارد مهمي که در دامنه در نظر گرفته نشده اند، شناسايي شدهاند و دلايل در نظر نگرفتن آنها به صورت واضحي توضيح دادهشدهاست؟ |
| آيا خطمشي امنيت اطلاعاتي که دامنه تعريف شده را پوشش دهد، تعريف شدهاست؟ |
| آيا خطمشي مشتمل بر چارچوبي براي تعيين اهداف و ايجاد يک درک کلان از مسير و مباني براي اقدام با توجه به امنيت اطلاعات مي باشد؟ |
| آيا خطمشي دربرگيرنده کسبوکار، الزامات قانوني يا آئيننامهاي و تعهدات قراردادي مي باشد؟ |
| آيا خط مشي با مفاد مديريت راهبردي مخاطرات سازمان که در ايجاد و نگهداري سيستم مديريت امنيت اطلاعات لحاظ خواهد شد، هماهنگ مي باشد؟ |
| آيا خط مشي معياري براي ارزيابي مخاطرات تعريف مي کند و ساختار ارزيابي ريسک مشخص شدهاست؟ |
| آيا خطمشي به تأييد مديريت رسيدهاست؟ |
| آيا يک متدلوژي برآورد مخاطرات که براي سيستم مديريت امنيت اطلاعات و امنيت لازم براي کسبوکار، الزامات قانوني و آئيننامهاي متناسب شده باشد، شناسايي شده است؟ |
| آيا خطمشي و اهدافي براي سيستم مديريت امنيت اطلاعات به منظور کاهش ريسک تا سطح قابل قبول شناسايي شده است؟ |
| آيا معياري براي پذيرش ريسک شناسايي شده است؟ |
| آيا سطوح ريسک قابل قبول براساس معيار مطرح شده در مورد قبل شناسايي شده اند؟ |
| آيا فرآيندي براي شناسايي ريسک تعريف و به کار گرفته مي شود؟ |
| آيا اين فرآيند به شناسايي دارايي هاي واقع در دامنه سيستم مديريت امنيت اطلاعات و مالکان آنها، تهديدهاي متوجه آن دارايي ها، آسيبپذيري هايي که ممکن است توسط تهديدها نمود پيدا کنند و آسيبهايي که ممکن است با از دست دادن محرمانگي، يکپارچگي و دسترسپذيري، متوجه دارايي ها شوند، مي پردازد؟ |
| آيا فرآيندي براي ارزيابي ريسک تعريف و به کار گرفته مي شود؟ |
| آيا اين فرآيند به برآورد زيان وارد بر کسبوکار سازمان که ممکن است از نقيصه هاي امنيتي ناشي از دست دادن محرمانگي، يکپارچگي يا دسترسپذيري دارايي ها حاصل شود، مي پردازد؟ |
| آيا اين فرآيند برآورد به صورت واقعگرايانهاي احتمال بروز نقيصه هاي امنيتي را با در نظر گرفتن تهديدها، آسيبپذيري ها و تأثيرات بر روي دارايي ها، برآورد مي کند؟ |
| آيا اين فرآيند سطوح ريسک را تخمين مي زند؟ |
| آيا اين فرآيند مشخص مي کند مخاطرات در حد قابل قبول هستند يا نيازمند بر طرف سازي با استفاده از معيارهاي پذيرش مخاطرات که در 4.2.1 c مطرح شده، مي باشند؟ |
| آيا فرآيندي براي شناسايي و ارزيابي گزينه هايي براي برطرفسازي مخاطرات ايجاد شده و اجرا مي شود؟ |
| آيا اين فرآيند شامل اقداماتي که در ادامه ذکر مي شوند، مي باشد: به کار گرفتن کنترل هايي براي کاهش ريسک، پذيرش آگاهانه و هوشمندانه مخاطرات به طوري که به وضوح خطمشي سازمان و معيار پذيرش مخاطرات را برآورده سازد (ر.ک. 4.2.1 c)، انجام اقداماتي در جهت اجتناب از مخاطرات، انتقال مخاطرات کسبوکار به طرفهاي ديگر، به عنوان مثال به بيمهگزاران يا تأمينکنندگان؟ |
| آيا فرآيندي براي گزينش اهداف کنترلي و کنترل ها براي برطرفسازي مخاطرات ايجاد شده و اجرا مي شود؟ |
| آيا اين فرآيند اطمينان حاصل مي کند که انتخاب اهداف کنترلي و کنترل ها با توجه به فرآيندهاي ارزيابي و برطرفسازي مخاطرات صورت مي گيرد؟ |
| آيا فرآيندي براي دريافت تأييد مديريت در زمينه مخاطرات باقيماندهي پيشنهاد شده، وجود دارد و اجرا مي شود؟ |
| آيا فرآيندي براي دريافت مجوز مديريت براي پيادهسازي و اجراي سيستم مديريت امنيت اطلاعات وجود دارد و اجرا مي شود؟ |
| آيا فرآيندي براي تهيه بيانيه کاربستپذيري ايجاد شده است و مورد استفاده قرار مي گيرد؟ |
| آيا بيانيه کاربستپذيري که به تبيين تصميمات اتخاذ شده در خصوص اهداف کنترلي و کنترل هاي برگزيده از 4.2.1 g و دلايل انتخاب آنها بپردازد، ايجاد شده است؟ |
| آيا بيانيه کاربستپذيري شامل اهداف کنترلي و کنترل هايي که در حال حاضر پيادهسازي شده اند (ر.ک. 4.2.1 e) مي شود؟ |
| آيا بيانيه کاربستپذيري اهداف کنترلي يا کنترلهايي را که کنار گذاشته شده اند و توجيه کنارگذاري آنها را ثبت نموده است؟ |
| آيا فرآيندي براي قاعدهمند کردن يک طرح برطرفسازي مخاطرات که اقدامات مديريتي مناسب، مسئوليتها و اولويت ها براي مديريت ريسک هاي امنيت اطلاعات را شناسايي کند، ايجاد شده است و اجرا مي شود؟ |
| آيا فرآيندي براي اجراي طرح برطرفسازي مخاطرات در جهت دستيابي به اهداف کنترلي شناسايي شده که در برگيرنده ملاحظات مالي و تخصيص نقش ها و مسئوليت ها باشد، تعريف شده است و به کار گرفته شده است؟ |
| آيا فرآيندي براي اجراي کنترل هاي انتخاب شده در 4.2.1 g و در جهت برآوردهسازي اهداف کنترلي، ايجاد شده است و اجرا مي شود؟ |
| آيا فرآيندي براي سنجش اثربخشي کنترل ها يا گروهي از کنترل هاي انتخاب شده و تعيين اينکه اين اندازهگيريها، چگونه براي برآورد اثربخشي کنترل ها، به منظور ارائه نتايج قابل قياس و تجديد پذير، مورد استفاده قرار گرفته اند (ر.ک. 4.2.3 c) تعريف شده است و اجرا مي شود؟ |
| آيا فرآيندي براي پياده سازي برنامه هاي آموزشي مورد نياز و آگاهسازي (در انطباق با بند 5.2.2) تعريف شده است و اجرا مي شود؟ |
| آيا فرآيندي براي مديريت عمليات سيستم مديريت امنيت اطلاعات تعريف شده است و اجرا مي شود؟ |
| آيا فرآيندي براي مديريت منابع مورد نياز براي سيستم مديريت امنيت اطلاعات ايجاد شده است و به کار گرفته مي شود؟ |
| آيا رويه ها و ساير کنترل هايي براي شناسايي سريع و پاسخگويي به حوادث امنيتي، پيادهسازي شده اند؟ |
| آيا رويه هاي پايش اجرا شده اند تا: |
| · خطاها را به سرعت در نتايج پردازش شناسايي کنند. |
| · نقض ها و حوادث امنيتي موفق يا ناتمام را به صورت صحيح تشخيص دهند. |
| · مديريت را قادر سازند که تشخيص دهد فعاليت هاي امنيتي واگذار شده به افراد يا پيادهسازي شده به وسيله فناوري اطلاعات، آنگونه که انتظار مي رود، انجام مي شوند. |
| · اقداماتي براي رفع نقض امنيتي مطابق با اولويتهاي کسبوکار مشخص نمايند؟ |
| آيا فرآيندي براي بازنگري قاعدهمند اثربخشي سيستم مديريت امنيت اطلاعات (شامل برآورده سازي خطمشي و اهداف سيستم مديريت امنيت اطلاعات و بازنگري کنترل هاي امنيتي)، با توجه به نتايج مميزي هاي امنيتي، حوادث و نتايج اندازهگيري هاي اثربخشي، پيشنهادها و بازخوردهاي تمامي طرف هاي ذينفع، تعريف شده است و اجرا مي شود؟ |
| آيا فرآيندي براي سنجش اثربخشي کنترل ها به منظور تصديق اينکه الزامات امنيتي برآورده شده اند، تعريف شده است و اجرا مي شود؟ |
| آيا فرآيندي براي بازنگري برآوردهاي مخاطرات در فواصل زماني طرحريزي شده و بازنگري مخاطرات باقيمانده و شناسايي سطح قابل قبول مخاطرات، با توجه به تغييرات در موارد زير انجام مي گيرد: |
| · سازمان، |
| · فناوري، |
| · اهداف و فرآيندهاي کسبوکار، |
| · تهديدهاي شناساييشده، |
| · اثربخشي کنترل هاي پيادهسازي شده، |
| · رويدادهاي بروني همانند تغييرات در فضاي قانوني يا آئيننامه اي، تغيير در تعهدات قراردادي و تغييرات در شرايط اجتماعي. |
| آيا فرآيندي براي بازنگري مديريت قاعدهمند سيستم مديريت امنيت اطلاعات، به منظور حصول اطمينان از متناسب باقي ماندن دامنه و اينکه بهبودها در فرآيند سيستم مديريت امنيت اطلاعات شناسايي شدهاند، تعريف شده است و اجرا مي شود؟ |
| آيا مميزي هاي داخلي سيستم مديريت امنيت اطلاعات در فواصل زماني طرحريزي شده صورت مي پذيرد؟ |
| آيا فرآيندي براي بروزآوري طرح هاي امنيتي با در نظر گرفتن يافته هاي فعاليت هاي پايش و بازنگري در نظر گرفته شده است و اجرا مي شود؟ |
| آيا فرآيندي براي ثبت اقدامات و وقايعي که مي توانند بر اثربخشي يا کارآيي سيستم مديريت امنيت اطلاعات تأثير شديد بگذارند (ر.ک. 4.3.3) تعريف شده است و اجرا مي شود؟ |
| آيا فرآيندي براي پيادهسازي بهبودهاي شناسايي شده در سيستم مديريت امنيت اطلاعات ايجاد شده است و اجرا مي شود؟ |
| آيا فرآيندي براي انجام اقدامات اصلاحي و پيشگيرانه مناسب، مطابق با بندهاي 8.2 و 8.3 و به کار بستن درس هاي آموختهشده از تجارب امنيتي ديگر سازمان ها و خود سازمان ايجاد شده است و اجرا مي شود؟ |
| آيا فرآيندي براي انتقال اطلاعات مربوط به اقدامات و بهبودها، به تمامي طرف هاي ذينفع، با سطحي از جزئيات متناسب با شرايط محيطي و در صورت لزوم، توافق در مورد چگونگي ادامه کار، موجود است و اجرا مي شود؟ |
| آيا فرآيندي وجود دارد که اطمينان حاصل کند بهبودها به اهداف مورد نظرشان دست يافته اند؟ |
| آيا مستندات بيانيه مدونشده خطمشي سيستم مديريت امنيت اطلاعات (ر.ک. 4.2.1 b) و اهداف آن موجود و در دسترس مي باشد؟ |
| آيا مستندي که دامنه سيستم مديريت امنيت اطلاعات را (ر.ک. 4.2.1 a) توصيف کند، در دسترس مي باشد؟ |
| آيا روش هاي اجرايي و کنترل هايي در پشتيباني از سيستم مديريت امنيت اطلاعات ايجاد شده اند؟ |
| آيا گزارش برآورد مخاطرات موجود مي باشد؟ |
| آيا طرح برطرفسازي مخاطرات موجود مي باشد؟ |
| آيا روش هاي اجرايي مدونشدهاي براي حصول اطمينان از موثر بودن طرحريزي، اجرا و کنترل فرآيندهاي امنيت اطلاعات و تشريح چگونگي سنجش اثربخشي کنترل ها (ر.ک. 4.2.3 c) موجود مي باشد؟ |
| آيا سوابق که توسط اين استاندارد بينالمللي الزام شده اند (ر.ک. 4.3.3) موجود مي باشد؟ |
| آيا يک نسخه از بيانيه کاربستپذيري جهت بازرسي موجود است؟ |
| آيا فرآيندي براي پشتيباني و کنترل مستندات مورد نياز سيستم مديريت امنيت اطلاعات تعريف شده و اجرا ميشود؟ |
| آيا يک روش اجرايي مدون براي تعريف اقدامات مديريتي مورد نياز ذيل، ايجاد شده است: |
| · تصويب مستندات از نظر تناسب آنها، پيش از انتشار |
| · بازنگري و بهروزآوري مستندات، بر حسب نياز و تصويب مجدد مستندات |
| · حصول اطمينان از اينکه تغييرات و وضعيت ويرايش جاري مستندات، مشخص شده اند. |
| · حصول اطمينان از اينکه توزيع مستندات، تحت کنترل است. |
| · حصول اطمينان از اينکه ويرايش هاي معتبر مستندات قابل اجرا و در مکان استفاده در دسترس هستند. |
| · حصول اطمينان از اينکه مستندات خوانا و به سهولت قابل تشخيص باقي مي مانند. |
| · حصول اطمينان از اينکه مستندات در دسترس کساني که به آنها نياز دارند، مي باشد و با توجه به روش هاي اجرايي بکارگرفته شده براي طبقهبندي آنها، منتقل، ذخيره و در نهايت امحاء مي شوند. |
| · حصول اطمينان از اينکه مستندات با منشأ برون سازماني، شناسايي شده اند |
| · پيشگيري از استفاده ناخواسته از مستندات منسوخ |
| · در صورتيکه مستندات منسوخ به هر دليلي گردآوري شوند، به نحو مناسبي مورد شناسايي قرار بگيرند. |
| آيا فرآيندي براي ايجاد، نگهداري و کنترل سوابق وجود دارد و اجرا مي شود؟ |
| آيا اين فرآيند الزامات قانوني يا آئيننامه اي و تعهدات قراردادي مرتبط را نظر مي گيرد؟ |
| آيا اين فرآيند اطمينان حاصل مي کند که سوابق خوانا، به سهولت قابل شناسايي و بازيابي باقي بمانند؟ |
| آيا کنترلهاي مورد نيازِ شناسايي، انبارش، حفاظت، بازيابي، مدت نگهداري و امحاي سوابق، مدون و پيادهسازي شده اند؟ |
| آيا سوابق کارايي فرآيندها آنگونه که در 4.2 طرح شده و کليه حوادث امنيتي بارز مرتبط به سيستم مديريت امنيت اطلاعات، نگهداري مي شوند؟ |
| آيا فرآيندي وجود دارد که شواهدي دال بر تعهد مديريت بر تعريف, ايجاد و پيادهسازي و بهبود (پايش و بازنگري) سيستم مديريت امنيت اطلاعات ارائه دهد؟ |
| · خط مشي امنيت اطلاعات |
| · اطمينان از استقرار اهداف و طرحها |
| · تعريف نقش ها و وظايف صورت گرفته |
| · اطلاع رساني اهميت امنيت اطلاعات و تبادل اهداف و خط مشي ها در سازمان |
| · فراهم آوردن منابع جهت استقرار و راهبري سيستم |
| · تعيين سطح قابل قبول ريسک |
| · اطمينان از انجام مميزي داخلي |
| · بازنگري خروجي سيستم مديريت امنيت اطلاعات |
| آيا فرآيندي در سازمان وجود دارد که نشان دهد سازمان نياز به منابع مورد نياز خود را چگونه تشخيص مي دهد؟ |
| · آيا روالهاي امنيتي اتخاذ شده نياز هاي کسب و کار را برطرف مي کند. |
| · آيا بازنگري جهت استفاده مناسب از منابع و بهبود آن وجود دارد |
| آيا فرآيندي در سازمان وجود دارد که نشان دهد سازمان آموزش لازم به پرسنل ذينفع داده شده و صاحبين مسئوليت آگاهي و علم کافي نسبت به اجراي وظايف امنيتي خود دارند؟ |
| · آيا صلاحيتها ي و آموزشهاي لازم جهت پرسنل قبل از واگذاري مسئوليت به ايشان کنترل و اجرا مي شود |
| · آيا نيازمندي هاي آموزشي در سازمان شناسايي مي شود |
| · آيا آموزشهاي به نحو اثر بخش برگزار و اثر بخشي آن سنجيده مي شود |
| · آيا سوابق آموزشي نگهداري و بروز رساني مي شود |
| آيا سازمان برنامه مميزي داخلي بر اساس دور هاي زماني مشخص وجود دارد؟ |
| · آيا برنامه مميزي نيازها و اهداف و دامنه سيستم را پوشش مي دهد؟ |
| · آيا مسئوليـت هاي برنامه ريزي, اجرا, ايجاد گزارش و بازنگري مميزي بصورت مکتوب مدون و مشخص است؟ |
| · آيا گزارشها به مديريت ارائه مي گردد؟ |
| · آيا مديريت فعاليتهاي اثر بخشي براي پيگيري رفع عدم مغايرت ها را دنبال مي کند؟ |
| آيا فرآيندي در سازمان وجود دارد که نشان دهد مديريت در بازه هاي زماني مشخص برنامه هاي اجراي سيستم مديريت امنيت اطلاعات را بازنگري و مرور مي کند ؟ |
| · آيا اين باز نگري شامل مرور فرصتهاي بهبود و نياز به تغييرات در اهداف و خط مشي ها مي باشد؟ |
| · آيا اين فرآيند طبق الزام 4-3-3 مستند سازي و اعمال و نگهداري مي شود؟ |
| آيا ورودي فرآيند بازنگري مديريت موارد زير را در بر مي گيرد؟ |
| · تايج مميزي هاي قبلي |
| · بازخورهاي مشتريان و ذينفعان |
| · تکنيکها, محصولات و روشهايي که در سازمان جهت استقرار سيستم بکار گرفته مي شود؟ |
| · وضعيت اقدامات اصلاحي و پيشگيرانه |
| · آسيب پذيريها و ريسکهاي باقي مانده از آخرين ارزيابي مخاطرات |
| · هر تغييري که سيستم را تحت تاثير قرار دهد |
| · پيشنهادات جهت بهبود |
| آيا خروجي فرآيند بازنگري مديريت تصميماتي را که موارد زير را در بر مي گيرد داراست؟ |
| · بهبود جهت اثر بخشي هر چه بيشتر |
| · تغيير در روالهاي امنيتي با توجه به وقايع داخلي و خارجي اتفاق افتاده شامل: |
| · الزامات کسب و کار |
| · الزامات امنيتي |
| · فرآيندهاي کار موثر بر کسب و کار |
| · الزامات و مقررات جديد وارد و اخذ شده |
| · سطح ريسک قابل قبول |
| آيا فرآيندي وجود دارد و اجرا ميشود که تضمين نمايد سازمان بصورت مداوم از طريق خط مشي امنيت اطلاعات، اهداف امنيتي، نتايج مميزي ها، تحليل رخداد هاي پايش شده، اقدامات اصلاحي و پيشگيرانه و بازبيني مديريت اثر بخشي سيستم مديريت امنيت اطلاعات را بهبود مي بخشد؟ |
| آيا فرآيندي وجود دارد و اجرا مي شود که تضمين نمايد فعاليت هايي جهت برطرف نمودن علل عدم انطباق ها در راستاي پياده سازي و نگهداري سيستم مديريت امنيت اطلاعات با هدف جلوگيري از تکرار مجدد آنها انجام مي پذيرد؟ |
| آيا فرآيندي مستند براي اقدامات اصلاحي وجود دارد که الزامات زير را پوشش دهد: |
| · شناسايي عدم انطباقها در پياده سازي يا نگهداري سيستم مديريت امنيت اطلاعات |
| · مشخص نمودن علل عدم انطباق ها |
| · تعيين نياز جهت اقداماتي که تضمين کننده عدم تکرار عدم انطباق ها باشد |
| · تعيين و اجراي اقدامات اصلاحي لازم |
| · نگهداري سوابق نتايج اقدامات انجام گرفته |
| · مرور اقدامات اصلاحي |
| آيا فرآيندي وجود دارد و اجرا مي شود که تضمين نمايد فعاليت هايي جهت جلوگيري از رخداد عدم انطباق ها در آينده به اجرا در مي آيد؟ |
| آيا اين فرآيند تضمين مي نمايد که هرگونه اقدام پيشگيرانه متناسب با تأثير مشکل احتمالي باشد؟ |
| آيا فرآيندي مستند براي اقدامات پيشگيرانه وجود دارد که الزامات زير را پوشش دهد: |
| · شناسايي عدم انطباق ها و علل /آنها |
| · مشخص نمودن و انجام اقدامات پيشگيرانه لازم |
| · نگهداري سوابق نتايج اقدامات پيشگيرانه انجام گرفته |
| · مرور اقدامات اصلاحي |
| · مشخص نمودن ريسک تغيير يافته و تضمين اينکه تمرکز بر روي اين ريسک مي باشد |
دیدگاهها
پاکسازی فیلترهیچ دیدگاهی برای این محصول نوشته نشده است.