تبليغات
تبلیغات در دانشجو کلوب محک :: موسسه خيريه حمايت از کودکان مبتلا به سرطان ::
جستجوگر انجمن.براي جستجوي مطالب دانشجو کلوپ مي توانيد استفاده کنيد 
برای بروز رسانی تاپیک کلیک کنید
 
امتیاز موضوع:
  • 1 رأی - میانگین امتیازات: 5
  • 1
  • 2
  • 3
  • 4
  • 5

سيستم مديريت امنيت اطلاعات (ISMS)

نویسنده پیام
  • ♔ αϻἰг κнаη ♔
    آفلاین
  • مدیرکل  سایت
    *******
  • ارسال‌ها: 16,105
  • تاریخ عضویت: تير ۱۳۹۰
  • اعتبار: 1090
  • تحصیلات:زیر دیپلم
  • علایق:مبارزه
  • محل سکونت:ایران زمین
  • سپاس ها 34951
    سپاس شده 49155 بار در 13535 ارسال
  • امتیاز کاربر: 551,587$
  • حالت من:حالت من
ارسال: #1
سيستم مديريت امنيت اطلاعات (ISMS)
سيستم مديريت امنيت اطلاعات (ISMS)
در حال حاضر، وضعيت امنيت فضاي تبادل اطلاعات کشور، بويژه در حوزه دستگاههاي دولتي، در سطح نامطلوبي قرار دارد. از جمله دلايل اصلي وضعيت موجود، ميتوان به فقدان زيرساختهاي فني و اجرائي امنيت و عدم انجام اقدامات موثر در خصوص ايمنسازي فضاي تبادل اطلاعات دستگاههاي دولتي اشاره نمود.
بخش قابل توجهي از وضعيت نامطلوب امنيت فضاي تبادل اطلاعات کشور، بواسطه فقدان زيرساختهائي از قبيل نظام ارزيابي امنيتي فضاي تبادل اطلاعات، نظام صدور گواهي و زيرساختار کليد عمومي، نظام تحليل و مديريت مخاطرات امنيتي، نظام پيشگيري و مقابله با حوادث فضاي تبادل اطلاعات، نظام مقابله با جرائم فضاي تبادل اطلاعات و ساير زيرساختهاي امنيت فضاي تبادل اطلاعات در کشور ميباشد. از سوي ديگر، وجود زيرساختهاي فوق، قطعا تاثير بسزائي در ايمنسازي فضاي تبادل اطلاعات دستگاههاي دولتي خواهد داشت.
صرفنظر از دلايل فوق، نابساماني موجود در وضعيت امنيت فضاي تبادل اطلاعات دستگاههاي دولتي، از يکسو موجب بروز اخلال در عملکرد صحيح دستگاهها شده و کاهش اعتبار اين دستگاهها را در پي خواهد داشت، و از سوي ديگر، موجب اتلاف سرمايههاي ملي خواهد شد. لذا همزمان با تدوين سند راهبردي امنيت فضاي تبادل اطلاعات کشور، توجه به مقوله ايمنسازي فضاي تبادل اطلاعات دستگاههاي دولتي، ضروري به نظر ميرسد. اين امر علاوه بر کاهش صدمات و زيانهاي ناشي از وضعيت فعلي امنيت دستگاههاي دولتي، نقش موثري در فرآيند تدوين سند راهبردي امنيت فضاي تبادل اطلاعات کشور خواهد داشت.
سيستم مديريت امنيت اطلاعات (ISMS)
با ارائه اولين استاندارد مديريت امنيت اطلاعات در سال 1995، نگرش سيستماتيک به مقوله ايمنسازي فضاي تبادل اطلاعات شکل گرفت. بر اساس اين نگرش، تامين امنيت فضاي تبادل اطلاعات سازمانها، دفعتا مقدور نميباشد و لازم است اين امر بصورت مداوم در يک چرخه ايمنسازي شامل مراحل طراحي، پيادهسازي، ارزيابي و اصلاح، انجام گيرد. براي اين منظور لازم است هر سازمان بر اساس يک متدولوژي مشخص، اقدامات زير را انجام دهد:
1-تهيه طرحها و برنامههاي امنيتي موردنياز سازمان
2-ايجاد تشکيلات موردنياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان
3-اجراي طرحها و برنامههاي امنيتي سازمان
در حال حاضر، مجموعهاي از استانداردهاي مديريتي و فني ايمنسازي فضاي تبادل اطلاعات سازمانها ارائه شدهاند که استاندارد مديريتي BS7799 موسسه استاندارد انگليس، استاندارد مديريتي ISO/IEC 17799 موسسه بينالمللي استاندارد و گزارش فني ISO/IEC TR 13335 موسسه بينالمللي استاندارد از برجستهترين استاندادرها و راهنماهاي فني در اين زمينه محسوب ميگردند.
در اين استانداردها، نکات زير مورد توجه قرار گرفته شده است:
1-تعيين مراحل ايمنسازي و نحوه شکلگيري چرخه امنيت اطلاعات و ارتباطات سازمان
2-جرئيات مراحل ايمنسازي و تکنيکهاي فني مورد استفاده در هر مرحله
3-ليست و محتواي طرحها و برنامههاي امنيتي موردنياز سازمان
4-ضرورت و جزئيات ايجاد تشکيلات سياستگذاري، اجرائي و فني تامين امنيت اطلاعات و ارتباطات سازمان
5-کنترلهاي امنيتي موردنياز براي هر يک از سيستمهاي اطلاعاتي و ارتباطي سازمان
مروري بر استانداردهاي مديريت امنيت اطلاعات
استانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات و ارتباطات سازمانها، عبارتند از:
·استاندارد مديريتي BS7799 موسسه استاندارد انگليس
·استاندارد مديريتي ISO/IEC 17799 موسسه بينالمللي استاندارد
·گزارش فني ISO/IEC TR 13335 موسسه بينالمللي استاندارد
در اين بخش، به بررسي مختصر استانداردهاي فوق خواهيم پرداخت.
استاندارد BS7799 موسسه استاندارد انگليس
استاندراد BS7799 اولين استاندارد مديريت امنيت اطلاعات است که نسخه اول آن (BS7799:1) در سال 1995 منتشر شد. نسخه دوم اين استاندارد (BS7799:2) که در سال 1999 ارائه شد، علاوه بر تغيير نسبت به نسخه اول، در دو بخش ارائه گرديد. آخرين نسخه اين استاندارد، (BS7799:2002) نيز در سال 2002 و در دو بخش منتشر گرديد.
بخش اول
در اين بخش از استاندارد، مجموعه کنترلهاي امنيتي موردنياز سيستمهاي اطلاعاتي و ارتباطي هر سازمان، در قالب ده دستهبندي کلي شامل موارد زير، ارائه شده است:
1-تدوين سياست امنيتي سازمان
در اين قسمت، به ضرورت تدوين و انتشار سياستهاي امنيتي اطلاعات و ارتباطات سازمان ، بنحوي که کليه مخاطبين سياستها در جريان جزئيات آن قرار گيرند، تاکيد شده است. همچنين جزئيات و نحوه نگارش سياستهاي امنيتي اطلاعات و ارتباطات سازمان، ارائه شده است.
2-ايجاد تشکيلات تامين امنيت سازمان
در اين قسمت، ضمن تشريح ضرورت ايجاد تشکيلات امنيت اطلاعات و ارتباطات سازمان، جزئيات اين تشکيلات در سطوح سياستگذاري، اجرائي و فني به همراه مسئوليتهاي هر يک از سطوح، ارائه شده است.
3-دستهبندي سرمايهها و تعيين کنترلهاي لازم
در اين قسمت، ضمن تشريح ضرورت دستهبندي اطلاعات سازمان، به جزئيات تدوين راهنماي دستهبندي اطلاعات سازمان پرداخته و محورهاي دستهبندي اطلاعات را ارائه نموده است.
4-امنيت پرسنلي
در اين قسمت، ضمن اشاره به ضرورت رعايت ملاحظات امنيتي در بکارگيري پرسنل، ضرورت آموزش پرسنل در زمينه امنيت اطلاعات و ارتباطات، مطرح شده و ليستي از مسئوليتهاي پرسنل در پروسه تامين امنيت اطلاعات و ارتباطات سازمان، ارائه شده است.
5-امنيت فيزيکي و پيراموني
در اين قسمت، اهميت و ابعاد امنيت فيزيکي، جزئيات محافظت از تجهيزات و کنترلهاي موردنياز براي اين منظور، ارائه شده است.
6-مديريت ارتباطات
در اين قسمت، ضرورت و جزئيات روالهاي اجرائي موردنياز، بمنظور تعيين مسئوليت هر يک از پرسنل، روالهاي مربوط به سفارش، خريد، تست و آموزش سيستمها، محافظت در مقابل نرمافزارهاي مخرب، اقدامات موردنياز در خصوص ثبت وقايع و پشتيبانگيري از اطلاعات، مديريت شبکه، محافظت از رسانهها و روالها و مسئوليتهاي مربوط به درخواست، تحويل، تست و ساير موارد تغيير نرمافزارها ارائه شده است.
7-کنترل دسترسي
در اين قسمت، نيازمنديهاي کنترل دسترسي، نحوه مديريت دسترسي پرسنل، مسئوليتهاي کاربران، ابزارها و مکانيزمهاي کنترل دسترسي در شبکه، کنترل دسترسي در سيستمعاملها و نرمافزارهاي کاربردي، استفاده از سيستمهاي مانيتورينگ و کنترل دسترسي در ارتباط از راه دور به شبکه ارائه شده است.
8-نگهداري و توسعه سيستمها
در اين قسمت، ضرورت تعيين نيازمنديهاي امنيتي سيستمها، امنيت در سيستمهاي کاربردي، کنترلهاي رمزنگاري، محافظت از فايلهاي سيستم و ملاحظات امنيتي موردنياز در توسعه و پشتيباني سيستمها، ارائه شده است.
9-مديريت تداوم فعاليت سازمان
در اين قسمت، رويههاي مديريت تداوم فعاليت، نقش تحليل ضربه در تداوم فعاليت، طراحي و تدوين طرحهاي تداوم فعاليت، قالب پيشنهادي براي طرح تداوم فعاليت سازمان و طرحهاي تست، پشتيباني و ارزيابي مجدد تداوم فعاليت سازمان، ارائه شده است.
10-پاسخگوئي به نيازهاي امنيتي
در اين قسمت، مقررات موردنياز در خصوص پاسخگوئي به نيازهاي امنيتي، سياستهاي امنيتي موردنياز و ابزارها و مکانيزمهاي بازرسي امنيتي سيستمها، ارائه شده است.
سيستم مديريت امنيت اطلاعات (ISMS)

۶-۱۱-۱۳۹۰ ۰۹:۰۴ عصر
جستجو یافتن همه ارسال های کاربر اهدا امتیازاهدای امتیاز به کاربر پاسخ پاسخ با نقل قول

برای بروز رسانی تاپیک کلیک کنید


پرش به انجمن:

کاربرانِ درحال بازدید از این موضوع: 1 مهمان