کتاب سیستم مدیریت امنیت اطلاعات ISO/IEC 27001
کتاب سیستم مدیریت امنیت اطلاعات ISO/IEC 27001 به قلم مهدی اسد بک و یوسف رشیدی، چارچوب امنیتی کلی و یک سری تکنیکهای تخصصیتر را برای پیادهسازی امنیت فضای تبادل اطلاعات معرفی کرده و آنها را مورد مطالعه و بررسی قرار میدهد.
امروزه نقش اطلاعات در سازمانها به عنوان یکی از حیاتیترین سرمایهها به وضوح به چشم میآید. گسترش شبکههای اطلاعاتی و دیگر فناوریهای پردازش و انتقال اطلاعات، از یک سو به پیشرفت سازمانها و رفاه مشتریان کمک کرده و از سویی دیگر تهدیدهای جدیدی را متوجه کسب و کار سازمانها نموده است.
در نتیجه اطلاعات باید به طور مناسبی محافظت شوند. امنیت اطلاعات، به منظور اطمینان از حیات کسب و کار، کاهش خرابیها، افزایش فرصتهای کسب و کار و بازگشت سرمایه، محافظت اطلاعات را از حیطه گستردهای از تهدیدات تضمین میکند.
در حال حاضر، وضعیت امنیت فضای تبادل اطلاعات کشور، بهویژه در حوزه دستگاههای دولتی، در سطح نامطلوبی قرار دارد. از جمله دلایل اصلی وضعیت موجود، میتوان به فقدان زیرساختهای فنی و اجرائی امنیت و عدم انجام اقدامات موثر در خصوص ایمنسازی فضای تبادل اطلاعات دستگاههای دولتی اشاره نمود.
بخش قابل توجهی از وضعیت نامطلوب امنیت فضای تبادل اطلاعات کشور، بواسطه فقدان زیرساختهایی از قبیل نظام ارزیابی امنیتی فضای تبادل اطلاعات، نظام صدور گواهی و زیرساختار کلید عمومی، نظام تحلیل و مدیریت مخاطرات امنیتی، نظام پیشگیری و مقابله با حوادث فضای تبادل اطلاعات، نظام مقابله با جرائم فضای تبادل اطلاعات و سایر زیرساختهای امنیت فضای تبادل اطلاعات در کشور میباشد.
از سوی دیگر، وجود زیرساختهای فوق، قطعا تاثیر بسزائی در ایمنسازی فضای تبادل اطلاعات دستگاههای دولتی خواهد داشت. صرف نظر از دلایل فوق، نابسامانی موجود در وضعیت امنیت فضای تبادل اطلاعات دستگاههای دولتی، از یکسو موجب بروز اخلال در عملکرد صحیح دستگاهها شده و کاهش اعتبار این دستگاهها را در پی خواهد داشت، و از سوی دیگر، موجب اتلاف سرمایههای ملی خواهد شد. لذا همزمان با تدوین سند راهبردی امنیت فضای تبادل اطلاعات کشور، توجه به مقوله ایمنسازی فضای تبادل اطلاعات دستگاههای دولتی، ضروری به نظر میرسد.
موسسات ISO و IEC از موسسات بینالمللی تدوین استاندارد در سطح جهانی میباشند که کمیته مشترکی را به نام JTC1 برای تدوین استانداردها تشکیل دادهاند.
در حال حاضر، مجموعهای از استانداردهای مدیریتی و فنی ایمنسازی فضای تبادل اطلاعات سازمانها ارائه شدهاند که استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس، استاندارد مدیریتی ISO/IEC 17799 موسسه بینالمللی استاندارد و گزارش فنی ISO/IEC TR 13335 موسسه بینالمللی استاندارد از برجستهترین استاندادرها و راهنماهای فنی در این زمینه محسوب میگردند.
در بخشی از کتاب سیستم مدیریت امنیت اطلاعات ISO/IEC 27001 میخوانیم:
این استاندارد که اصطلاحا به آن CC) common criteria) گفته میشود بعد از سال 1994 مطرح شد و چارچوبی را فراهم میسازد که در آن کاربران سیستم کامپیوتری میتوانند عملکردهای امنیتی و نیازهای قابلیت اطمینان خود را مشخص و فروشندگان بر اساس آنها محصولات CC خود را پیادهسازی و مورد ارزیابی قرار دهند. به عبارت دیگر تضمین میکند که فرایند تشخیص، پیادهسازی و ارزیابی امنیت سیستم کامپیوتری به روشی مطمئن و استاندارد صورت میگیرد.
این استاندارد دربرگیرنده معیار ارزیابی امنیت وابسته به اقدامات امنیتی اجرایی نمیباشد، این اقدامات همچنین به طور مستقیم به اقدامات امنیتی فناوری اطلاعات مربوط نمیشود، اگرچه اینگونه تشخیص داده شده که قسمت مهمی از TOE (هدف ارزیابی) از طریق اقدامات اجرایی مانند کنترلهای سازمانی، پرسنلی، فیزیکی و رویهای ایجاد میشود. اقدامات امنیتی اجرایی در محیط عملیاتی TOE جایی که قابلیت تاثیر گذاری بر روی اقدامات امنیتی جهت مقابله با تهدیدهای شناخته شده را دارند به عنوان فرضیات کاربرد ایمن به کار گرفته میشود.
ارزیابی جنبههای فیزیکی تکنیکی امنیت فناوری اطلاعات مانند کنترل محل صدور جریان الکترومغناطیسی به طور خاص تحت پوشش قرار نمیگیرد، این در حالی است که بسیاری از مفاهیم مورد نظر، برای این سطح قابل اجرا خواهند بود. این استاندارد به طور خاص برخی از جوانب محافظت فیزیکی از TOE را مد نظر قرار میدهد.
این استاندارد هیچ یک از روشهای ارزیابی و چهارچوب قانونی و اجرایی که ممکن است بعنوان معیار توسط مسئولین ارزیابی به کار گرفته شود را بعنوان متودولوژِی ارائه نمیدهد.
فهرست مطالب
پیشگفتار
مقدمه
فصل اول: امنیت اطلاعات
تاریخچه امنیت اطلاعات
امنیت اطلاعات چیست؟
نقطه آغاز امنیت اطلاعات
چرا به امنیت اطلاعات نیازمندیم؟
چالش انسانی امنیت اطلاعات
اصول مهم در امنیت اطلاعات
مفاهیم پایه درامنیت اطلاعات
محرمانگی
یکپارچه بودن
کنترل اختیارات و قابل دسترس بودن
قابلیت حسابرسی و قابلیت عدم انکار انجام عمل
اصل بودن
کنترل دسترسی
تعریف سادهای از امنیت اطلاعات
کنترل امنیت اطلاعات چگونه ممکن است؟
کنترل امنیت اطلاعات
مدیریتی
منطقی
فیزیکی
رمزنگاری
حراست فیزیکی
روشی برای مدیریت امنیت اطلاعات
برنامه جامع امنیت تجارت الکترونیک
امضای دیجیتالی زیربنای امنیت تبادلات الکترونیکی
منظور از امضای دیجیتالی چیست؟
کاربرد امضای دیجیتالی در تجارت الکترونیکی
تفاوت http با https در امنیت اطلاعات
فصل دوم: مدیریت امنیت اطلاعات
مدیریت امنیت اطلاعات چیست؟
طرح مدیریت امنیت اطلاعات چیست؟
سیستم مدیریت امنیت اطلاعات (Information Security Management System)
سیستم مدیریت امنیت اطلاعات نظام جامع امنیت اطلاعات سازمان
مشاوره و پیاده سازی سیستم مدیریت امنیت اطلاعات
چرخه استمرار پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS)
مراحل اجرای سیستم مدیریت امنیت اطلاعات
تعیین سیاستهای امنیتی
چگونگی تشخیص الزامات امنیتی
طرح تحلیل مخاطرات امنیتی
ارائه طرح جامع امنیت شبکه و اطلاعات
فصل سوم: استانداردهای مدیریت امنیت اطلاعات
تاریخچه استاندارد
تعریف استاندارد
سطوح استاندارد
سازمان بینالمللی استانداردسازی
تعریف ایزو از ISMS
استانداردهای امنیت
مؤسسه مهندسان برق و الکترونیک (IEEE)
استاندارد IEEE 802
انواع استانداردهای802 IEEE
استاندارد IEEE 802. 11 Wireless LAN
قابلیتها و ابعاد امنیتی استاندارد IEEE802. 11
تقسیم بندی گروه کاری IEEE802. 11
استاندارد جدید IEEE 802. 11N
استانداردهای شبکههای محلی بیسیم
قابلیت و سرویس پایه توسط IEEE برای شبکههای محلی بیسیم
استانداردهای مدیریت امنیت اطلاعات
انواع استانداردهای مدیریت امنیت اطلاعات
استانداردهای خانواده ISO27000
استاندارد ISO/IEC 27001
بخش اول
بخش دوم
ممیزی داخلی در استاندارد ISO/IEC 27001
متدولوژی ISO/IEC 27001
حوزه اول - خط مشی امنیتی
اجزاء مستند خط مشی امنیت اطلاعات
حوزه دوم-سازماندهی امنیت اطلاعات
امنیت طرفهای بیرون از سازمان
حوزه سوم – مدیریت دارایی ها
انواع داراییهای عنوان شده
حوزه چهارم – امنیت منابع انسانی
لحاظ نمودن امنیت در تعریف شغل و منبع
حوزه پنجم – امنیت محیطی و فیزیکی
حوزه ششم – مدیریت ارتباطات و عملیات
روشهای عملیاتی و مسئولیت ها
طراحی و تست قبولی سیستم
حفاظت از نرم افزار بدخواه
مدیریت نسخههای پشتیبان
اطمینان از حراست اطلاعات در شبکهها و حفاظت اززیرساخت پشتیبانی کننده
اداره کردن محیطهای ذخیره سازی
سرویسهای تجارت الکترونیکی
حوزه هفتم – کنترل دسترسی
کنترل دسترسی به اطلاعات
مدیریت و حصول اطمینان ازدسترسی کاربر
کنترل دسترسی به سیستم عامل
کنترل دسترسی به برنامههای کاربردی
محاسبه سیار و کار از راه دور
حوزه هشتم – تهیه، نگهداری و توسعه سیستمها
نیازمندیهای امنیتی سیستمهای اطلاعاتی
پردازش صحیح برنامههای کاربردی
کنترلهای رمزنگاری
امنیت فایلهای سیستم کاربردی
امنیت فرآیندهای توسعه و پشتیبانی
حوزه نهم – مدیریت حوادث امنیت اطلاعات
گزارش حوادث و ضعفهای امنیتی
مدیریت حوادث امنیت اطلاعات و راههای بهبود آنها
حوزه دهم– طرح تداوم کسب و کار
وجوه امنیتی مدیریت تداوم کسب و کار
حوزه یازدهم – مطابقت با قوانین
انطباق با الزامات قانونی
انطباق با خط مشیها و انطباق فنی
بازرسی ممیزی سیستمهای اطلاعاتی
مزایای پیاده سازی استاندارد ISO/IEC 27001
استاندارد ISO/IEC 27002
بحث
استاندارد ISO/IEC 27003
استاندارد ISO/IEC 27004
استاندارد ISO/IEC 27005
استاندارد ISO/IEC 27006
استاندارد ISO/IEC 27007
استاندارد ISO/IEC 27011
مزایای استفاده از سیستم مدیریت امنیت اطلاعات مبتنی بر استانداردهای سری :ISO27000
استاندارد ISO/IEC 15408
گزارش فنی ISO/IEC TR13335 موسسه بینالمللی استاندارد
استاندارد NIST800_30
مقایسه استانداردهای ISO 27005 و NIST
تصدیق استانداردها
پیاده سازی استانداردهای امنیت شبکه
اطلاعات سرمایه شماست
نفوذ به سیستم شما شهرت سازمان شما را نیز بر باد میدهد.
مدل امنیتی وایا چیست؟
ویژگیهای منحصر به فرد طرح حاضر
نگرش ایمن افزار وایا به امنیت در طرح حاضر
خدمات وایا
بهینه سازی و ایمن سازی شبکه
عقد قراردادهای مشاوره
نظارت بر عملکرد سیستمهای ذخیره سازی و پشتیبان گیری
جمع بندی
لزوم رعایت استانداردهای مدیریت امنیت اطلاعات در کشور
نتیجهگیری
منابع
مطالب مرتبط
تگها
مطالب پربیننده
- چه کسانی می توانند نامخانوادگیشان را تغییر دهند
- روزانه چقدر پروتئین مصرف کنیم؟
- خواص شگفتانگیز کیوی را بشناسید
- فراخوان دومين كنگره بين المللی راهكارهای گسترش فرهنگ غدير و ترويج نهج البلاغه
- ۳ نوشیدنی مفید برای سالمندان
- نکاتی مهم درباره جوشهای صورت
- علائم بیش فعالی در دخترها و پسرها را بشناسید
- میوه ای برای تقویت سیستم ایمنی بدن
- گیاهی برای دفع سنگ کلیه
- اربعین؛ پلی به سوی وحدت جهانی
- چالشهای ازدواج در دوران پیری
- اذن پدر برای ازدواج دختر لازم است یا خیر؟
- معرفی سوغات و صنایع دستی مازندران
- چگونه عطر مناسب بخریم؟
- زندگی نامه مسعود پزشکیان
- رابطه زناشویی برنده و بازنده ندارد
- درباره دوران بحرانی نوجوانی
- بازار کرمان با قدمت ۶۰۰ سال
- معرفی موزه هنرهای معاصر تهران؛ بازتابی از هنر ایران و جهان
- مصرفگرایی و ویرانی زندگی
- پاسخ به سوالات رایج درباره مصرف شیر
- معرفی جنگل فندقلو؛ بهشتی مینیاتوری در اردبیل
- درباره سن پیری بیشتر بدانیم
- اهمیت خواب را جدی بگیرید
- معرفی مسجد شیخ لطف الله، اثری شگفت انگیز از دوران صفویه
- پناهگاه سکوت
- نحوه خوابیدن به خواستههای درونی
- مضرات سیگار از آسیبهای پوستی تا تهدید سلامتی
- در مورد کف پای صاف و باورهای قدیمی
- چگونه با کودکان چاق تعامل داشته باشیم
- قوانین کلاس و مدرسه
- قالب آماده و زیبای پاورپوینت(15)
- ۵ فیلم که همه زنان ایرانی باید تماشا کنند
- شعار سال ۱۴۰۱ «سال تولید، دانشبنیان و اشتغالآفرین»
- قالب زیبای پاورپوینت برای ارائه پروپوزال و دفاع رساله دکترا
- قالب پاورپوینت کادر دار زیبا
- پورنوگرافی چیست و چه اثری بر مغز و رابطه جنسی دارد؟
- قالب پاورپوینت گرافیکی و طرح دار زیبا
- قالب پاورپوینت گرافیکی زیبا
- رنگ چشم هایتان درباره شما و اجدادتان چه می گوید؟
- نمونه تدریس درس اول هدیه آسمان پنجم
- قالب پاورپوینت گرافیکی جالب
- اندکی درباره درسپژوهی
- کتاب پسری که جادویی شد
- همه زائران سلطان
- قالب پاورپوینت
- معرفی کتاب
- دوستی با کتاب
- قالب پاورپوینت گرافیکی
- درباره محسن رضایی
- معرفی کتاب
- قیافه و ظاهر واسه متولدین کدوم ماه، خیلی مهمه؟
- درباره امیر کبیر
- کتاب راهنمای کامل Interaction access
- متن کامل دعای جوشن کبیر با ترجمه
- کتاب پیوند زخم خورده
- درباره فخرالدین عراقی
- درباره محسن مهر علیزاده
- کتاب آموزش علیه آموزش
- خلاصه کتاب سواد بصری