4-1-1-1 سند سياست حفاظت اطلاعات
سندي است محتوي سياست حفاظت اطلاعات، كه بايستي به وسيلة مديران تأييد و به نحو مناسب در دسترس كلية همكاران سازمان قرار گيرد ایزو
4-1-1-2 مرور و ارزيابي
سياست حفاظت اطلاعات، بايد بهطور منظم و باتوجه به تغييرات احتمالي و به منظور اطمينان از مؤثر بودن آن، بازنگري شود ایزو
4-2 سازمان حفاظت
4-2-1 زيرساخت حفاظت اطلاعات
4-2-1-1 گروه مديريتي حفاظت اطلاعات
به منظور اطمينان از توجه روشن و حمايت شفاف مديران از اصول حفاظت، بايد يك گروه مديريتي تشكيل گردد ایزو
4-2-1-2 هماهنگي حفاظت اطلاعات
به منظور هماهنگي در پيادهسازي كنترلهاي حفاظت اطلاعات، متناسب با اندازة سازمان بايد يك گروه عملياتي از مديران بخشهاي مختلف سازمان، وجود داشته باشد ایزو
4-2-1-3 تعيين مسئوليتهاي حفاظت اطلاعات
به منظور صيانت از داراييهاي شخصي و اجراي دقيق فرايند حفاظتي بايد، مسئوليتها به طور واضح تعريف شود ایزو
4-2-1-4 فرايند مجازسازي براي امكان پردازش اطلاعات
براي امكانات جديد پردازش اطلاعات، بايد يك فرايند مديريت مجازسازي ايجاد گردد ایزو
4-2-1-5 مشورت با نيروهاي متخصص حفاظت اطلاعات
به منظور مؤثر كردن روشهاي حفاظتي، آگاهي از نظرات نيروهاي داخلي يا مشاورين مرتبط با سازمان الزامي است ایزو
4-2-1-6 همكاري بين سازمانها
در سازمان حفاظت، ارتباطهاي مناسب با اشخاص و مؤسسات حقوقي، تأمينكنندگان خدمات اطلاعاتي و اپراتورهاي مخابرات راه دور بايستي در نظر گرفته شود ایزو
4-2-1-7 مرور مستقل حفاظت اطلاعات
نحوه پيادهسازي سياست حفاظت اطلاعات، بايد بطور جداگانه ديده شده باشد ایزو
4-2-2 حفاظت از دستيابي شخص ثالث
4-2-2-1 شناسايي مخاطرات ناشي از دسترسي شخص ثالث
مخاطراتي كه به وسيله دسترسي شخص ثالث (حقوقي و حقيقي) به امكانات پردازش اطلاعات سازمان وجود دارد، بايد ارزيابي شده و كنترلهاي حفاظتي مناسب، در آن موارد پياده شوند ایزو
4-2-2-2 پيشبيني الزامات حفاظتي در قراردادهاي شخص ثالث
دسترسي شخص ثالث به امكانات پردازش اطلاعات سازمان بايستي بر اساس قراردادي رسمي حاوي كليه الزامات حفاظتي لازم باشد ایزو
4-2-3 واگذاري فعاليت به بيرون سازمان
4-2-3-1 الزامات حفاظتي در قراردادهاي واگذاري فعاليت به بيرون سازمان
هنگامي كه تمام يا بخشي از مديريت و كنترل سيستمهاي اطلاعاتي، شبكه و فعاليتهاي دفتري سازمان به سازمان ديگري واگذار ميشود، الزامات حفاظتي، بايد در قرارداد بين طرفين در نظر گرفته شده باشد ایزو
4-3 طبقهبندي و كنترل داراييها
4-3-1 قابليت حسابرسي داراييها
4-3-1-1 ايجاد فهرستي از داراييها
يك فهرست از همة داراييهاي مهم، بايد تنظيم و نگهداري شود ایزو
4-3-2 طبقهبندي اطلاعات
رهنمودهاي طبقهبندي
طبقهبنديها و كنترلهاي حفاظت اطلاعات مربوطه، بايستي متناسب با نيازهاي سازماني جهت به اشتراك گذاشتن و يا محدودسازي اطلاعات و تأثيرات سازماني مرتبط با اين نيازها باشند ایزو
4-3-2-2 جابجايي و علامتگذاري اطلاعات
براي جابجايي و علامتگذاري اطلاعات، مطابق با رويههاي طبقهبندي سازمان، بايد مجموعهاي از روالها تعريف شوند ایزو
4-4- حفاظت كاركنان
4-4-1 حفاظت در شرح شغل و كاريابي
لحاظ نمودن مسائل حفاظتي در مسئوليتهاي شغلي
نقشها و مسئوليتهاي حفاظتي، بايد در سياست حفاظت اطلاعات سازمان در نظر گرفته شود و به صورت مناسب و مستند در شرح شغل درج گردد ایزو
4-4-1-2 گزينش كاركنان
در مورد كاركنان دائم، بايد در زمان درخواست كار كنترلها و تأييدهاي لازم صورت گيرد ایزو
4-4-1-3 توافقنامة محرمانه بودن اطلاعات سازماني
كاركنان، بايد توافقنامة محرمانه بودن اطلاعات سازماني را به عنوان بخشي از شرايط قراردادي خود، در هنگام استخدام امضاء نمايند ایزو
4-4-1-4 ضوابط استخدامي
ضوابط استخدامي بايستي حاوي مسئوليتهاي كاركنان در زمينه حفاظت اطلاعات باشد ایزو
4-4-2 آموزش كاربر
4-4-2-1 آموزش دانش حفاظت اطلاعات
همة كاركنان سازمان و در مواقع لزوم اشخاص ثالث، بايد به نحوي مناسب و منظم در مورد روالها و سياستهاي حفاظتي سازمان آموزش ببينند ایزو
4-4-3 پاسخ به حوادث و اشتباهات مربوط به حفاظت
4-4-3-1 گزارش حوادث حفاظتي
حوادث حفاظتي پس از كشف، بايد در كوتاهترين زمان ممكن از طريق مجاري مديريتي مناسب گزارش شوند ایزو
4-4-3-2 گزارش ضعفهاي حفاظتي
كاربران خدمات اطلاعاتي، ضروري است هرگونه ضعف و تهديد حفاظتي روي خدمات و سيستمها را يادداشت و گزارش نمايند ایزو
4-4-3-3 گزارش اشتباهات نرمافزاري
روالهايي به منظور پيگيري گزارشهاي اشتباهات نرمافزاري، بايد ايجاد شوند ایزو
4-4-3-4 يادگيري از حوادث
براي اينكه، نوع، اندازه و هزينه اشتباهات و حوادث قابل اندازهگيري و نمايش شوند بايد مكانيزمهايي ايجاد شوند ایزو
4-4-3-5 فرايند انضباطي
يك فرايند انضباطي رسمي براي تخلف از سياستهاي حفاظتي سازمان و روالهايي كه كاركنان لازم است رعايت نمايند، بايد ايجاد گردد ایزو
4-5 حفاظت فيزيكي و محيطي
4-5-1 محيطهاي ايمن
4-5-1-1 ميدان حفاظت فيزيكي
سازمانها، بايد از ميدانهاي حفاظتي، براي حفاظت از محلهاي نگهداري تجهيزات پردازش اطلاعات استفاده كنند ایزو
4-5-1-2 كنترلهاي ورودي فيزيكي
محلهاي ايمن، بايد بوسيله كنترلهاي ورودي مناسب محافظت شوند تا اطمينان حاصل شود فقط افراد مجاز ميتوانند دسترسي داشته باشند ایزو
4-5-1-3 ايمنسازي دفاتر، اتاقها و امكانات
به منظور حفاظت از دفاتر، اتاقها و امكانات با نيازهاي حفاظتي خاص، بايد محلهاي ايمن ايجاد گردند ایزو
4-5-1-4 كار در محلهاي ايمن
براي كار در محلهاي ايمن، بايد كنترلهاي اضافي و رهنمودهاي تكميلي مورد استفاده قرار گيرد تا از ايمن بودن اين محلها اطمينان لازم حاصل شود ایزو
4-5-1-5 مجزاسازي محلهاي انتقال و بارگيري اطلاعات
محلهاي انتقال و بارگيري اطلاعات، بايد كنترل شود و درصورت امكان مجزا از محل تجهيزات پردازش اطلاعات باشد، تا از دستيابيهاي غيرمجاز جلوگيري شود ایزو
4-5-2 حفاظت تجهيزات
4-5-2-1 استقرار و حفاظت تجهيزات
تجهيزات، بايد در محل مناسب و محافظت شدهاي قرار داشته باشند ایزو تا مخاطرات و تهديدهاي محيطي و امكان دسترسي غيرمجاز كاهش يابد ایزو
4-5-2-2 منابع تغذيه
تجهيزات، بايد از هرگونه صدمات ناشي از قطع يا خرابي منابع تغذيه محافظت شوند ایزو
4-5-2-3 حفاظت كابلكشي
به منظور جلوگيري از هرگونه خسارت يا قطع شدن، بايد كابلكشيهاي برق، دادهها و تلفن مورد استفاده در خدمات اطلاعاتي، محافظت شوند ایزو
4-5-2-4 نگهداري تجهيزات
تجهيزات، جهت اطمينان از تداوم فعاليت و يكپارچگي، متناسب با دستورالعملهاي سازنده يا روالهاي مستند شده، بايد نگهداري شوند ایزو
4-5-2-5 حفاظت از تجهيزات در هنگام استفاده بيروني
به منظور حفاظت از تجهيزات در هنگام استفاده در بيرون سازمان، بايد روالهاي حفاظتي ايجاد شوند ایزو
4-5-2-6 دور ريختن يا استفاده مجدد از تجهيزات به صورت مطمئن
قبل از دور ريختن يا استفادة مجدد از تجهيزات، اطلاعات بايد از روي آنها پاك شود ایزو
4-5-3 كنترلهاي عمومي
4-5-3-1 سياست ميز و صفحه پاك
به منظور كاهش مخاطرات ناشي از دسترسي غيرمجاز و فقدان يا صدمه به اطلاعات، سازمانها بايستي سياست ميز پاك و صفحه پاك را اختيار و اجرا كنند ایزو
4-5-3-2 جابجايي اموال
تجهيزات، اطلاعات يا نرمافزار متعلق به سازمان، نبايد بدون اجازه جابجا شود ایزو
4-6 مديريت ارتباطات و عمليات
4-6-1 روالهاي عملياتي و مسئوليتها
4-6-1-1 روالهاي عملياتي مستند شده
روالهاي عملياتي شناسايي شده در سياست حفاظت (4-1-1-1) بايد مستند و نگهداري شوند ایزو
4-6-1-2 كنترل تغيير عملياتي
تغييرات در تجهيزات و سيستمهاي پردازش اطلاعات، بايد كنترل شده باشند ایزو
4-6-1-3 روالهاي مديريت حادثه
به منظور اطمينان از پاسخ سريع، مؤثر و مناسب به حوادث، بايد روالها و مسئوليتهاي مديريت حادثه برقرار گردند ایزو
4-6-1-4 تفكيك وظايف
به منظور كاهش فرصتهاي تغييرات غيرمجاز و استفادة نابجا از اطلاعات و خدمات، وظايف و محدودة مسئوليتها بايد تفكيك گردند ایزو
4-6-1-5 جداسازي امكانات توسعه و عملياتي
امكانات آزمايش و توسعه بايد از امكانات عملياتي مجزا شوند ایزو
4-6-1-6 مديريت امكانات خارج سازماني
قبل از استفاده از خدمات قابل ارائه توسط مديريت امكانات خارج از سازمان، بايد مخاطرات دقيقاً شناسايي و روشهاي كنترلي مناسب كه مورد توافق طرف قرارداد و سازمان باشد، در قرارداد گنجانده شوند ایزو
4-6-2 برنامهريزي و پذيرش سيستم
4-6-2-1 برنامهريزي ظرفيت
برنامهريزي لازم براي توان پردازش و ظرفيت ذخيرهسازي اطلاعات در دسترس، بايد با در نظر گرفتن تقاضاهاي فعلي و آتي سيستم صورت پذيرد ایزو
4-6-2-2 پذيرش سيستم
معيار پذيرش سيستمهاي اطلاعاتي جديد و نسخههاي جديد و به روز شده سيستمها، بايد مستند شده و قبل از پذيرش و جايگزيني سيستم قبلي، آزمايشهاي كافي صورت گيرد ایزو
4-6-3 حفاظت در برابر نرمافزار مخرب
-6-3-1 كنترلها در برابر نرمافزار مخرب
روالهاي كنترلي، براي شناسايي، مقابله با نرمافزار مخرب و آگاهي كاربران از آنها بايد پياده شوند ایزو
4-6-4 اداره كردن
4
4-6-4-1 ايجاد پشتيبان اطلاعات
از اطلاعات مهم و اساسي و نرمافزارها، بايد به طور منظم نسخههاي پشتيبان تهيه گردد ایزو
4-6-4-2 ثبتهاي مجري
كاركنان عملياتي، بايد فعاليتهاي خود را ثبت نمايند ایزو
4-6-4-3 ثبت خرابي
خرابيها بايد گزارش شده و عمليات تصحيح آنها، انجام شوند ایزو
4-6-5 مديريت شبكه
4-6-5-1 كنترلهاي شبكه
به منظور دستيابي به امنيت شبكه و حفظ آن بايد مجموعهاي از كنترلها اعمال گردد ایزو
4-6-6 جابجايي محيط ذخيره و حفاظت
4-6-6-1 مديريت محيطهاي رايانهاي قابل جابجايي
مديريت محيطهاي رايانهاي قابل جابجايي نظير نوار، ديسك، كاست و گزارشهاي چاپ شده، بايد كنترل شده باشد ایزو
4-6-6-2 دور انداختن محيطهاي ذخيره
محيطهاي ذخيرهاي كه ديگر مورد نياز نيستند، بايد بصورت امن و محافظتشده دور ريخته شوند ایزو
4-6-6-3 روالهاي جابجايي اطلاعات
به منظور حفاظت اطلاعات در مقابل استفاده نابجا و غيرمجاز بايد، روالهايي جهت جابجايي و انبار كردن (محيطهاي ذخيره) اطلاعات ايجاد شود ایزو
4-6-6-4 حفاظت از مستندات سيستم
مستندات سيستم، بايد از دسترسي غيرمجاز محافظت گردند ایزو
4-6-7 تبادل اطلاعات و نرمافزار
4-6-7-1 توافقنامههاي تبادل اطلاعات و نرمافزار
چه براي تبادل دستي و چه براي تبادل الكترونيكي اطلاعات و نرمافزار بين سازمانها، بايد توافقنامههايي كه ميتوانند رسمي باشند، تهيه گردند ایزو
4-6-7-2 حفاظت محيطهاي ذخيره در حال حمل و نقل
محيط ذخيرهاي كه جابهجا ميشود بايد از دسترسي غيرمجاز، صدمه يا استفادة نابجا حفاظت گردد ایزو
4-6-7-3 حفاظت تجارت الكترونيكي
تجارت الكترونيكي، بايد در مقابل فعاليتهاي غيرقانوني، آشكارسازي يا تغيير در اطلاعات آن، محافظت شود ایزو
4-6-7-4 حفاظت از پست الكترونيكي
براي استفاده از پست الكترونيكي، بايد سياست ويژهاي تدوين گردد و كنترلهاي لازم براي كاهش مخاطرات حفاظتي آن صورت گيرد ایزو
صحت و تناسب داده ورودي سيستمهاي كاربردي، بايد تأييد شوند ایزو
4-8-2-2 كنترل حين پردازش
براي تأييد و قابل قبول بودن دادههاي پردازش شده، بايد كنترلهايي در سيستمها تعبيه شود تا انحراف تشخيص داده شود ایزو
4-8-2-3 تصديق اصالت پيام
براي برنامههاي كاربردي كه نياز به حفاظت از يكپارچگي محتويات پيام دارند، بايد تصديق اصالت پيام صورت گيرد ایزو
4-8-2-4 تأييد دادههاي خروجي
براي اطمينان از اينكه پردازش اطلاعات ذخيره شده، صحيح و متناسب با شرايط بوده، بايد خروجي سيستمهاي كاربردي مورد تأييد قرار گيرند ایزو
4-8-3 كنترلهاي رمزنگاري
4-8-3-1 سياست استفاده از كنترلهاي رمزنگاري
براي حفاظت اطلاعات، بايد سياستي در جهت استفاده از كنترلهاي رمزنگاري، تدوين و از آن پيروي گردد ایزو
4-8-3-2 رمزگذاري
براي حفاظت از اطلاعات حساس و مهم، بايد رمزگذاري صورت گيرد ایزو
4-8-3-3 امضاء رقومي
به منظور حفاظت از تصديق اصالت، مجازسازي و يكپارچگي اطلاعات الكترونيكي، بايد امضاءهاي رقومي به كار برده شوند ایزو
4-8-3-4 خدمات غيرقابل انكار
به منظور حل اختلافات در مورد وقوع يا عدم وقوع يك رويداد يا عمل، بايد خدمات غيرقابل انكار مورد استفاده قرار گيرند ایزو
به منظور نظارت بر استفاده از امكانات پردازش اطلاعات بايد روالهايي ايجاد شود و نتيجههاي آن، به صورت منظم مرور شود ایزو
4-7-7-3 همزماني ساعت
ساعت رايانهها، بايد به منظور ثبت دقيق وقايع همزمان باشند ایزو
4-7-8 محاسبه سيار و كار از راه دور
4-7-8-1 پردازش سيار
كنترلهاي مربوطه، براي مقابله با مخاطرات كار با امكانات محاسبه سيار، به ويژه در محيطهاي غير حفاظت شده، بايستي پذيرفته شوند و يك سياست رسمي تدوين شود ایزو
4-7-8-2 كار از راه دور
به منظور كنترل و مجازسازي در فعاليتهاي راهدور، بايد سياستها و روالهايي تدوين و اجرا گردند ایزو
4-8 توسعه و نگهداري سيستمها
4-8-1 الزامات حفاظتي سيستمها
4-8-1-1 تحليل و تعيين الزامات حفاظتي
الزامات سازمان به سيستمهاي جديد يا گسترش سيستمهاي موجود، بايد حاوي الزامات كنترلي باشد ایزو
4-8-2- حفاظت در سيستمهاي كاربردي
4-8-2-1- تأييد داده ورودي
4-7-7-1 ثبت وقايع
وقايع به ويژه استثنايي، بايد براي يك مدت مورد توافق، ثبت و نگهداري شوند تا در رسيدگيهاي آتي جهت نظارت بر كنترل دسترسي استفاده شوند ایزو
4-7-7-2 نظارت بر استفاده از سيستم
4-7-6-1 محدوديت دسترسي به اطلاعات
دسترسي به اطلاعات و سيستم كاربردي، بايد بر اساس با سياست تعريف شده كنترل دسترسي
(4-7-1-1)، محدود شود ایزو
4-7-6-2 مجزا سازي سيستمهاي حساس
سيستمهاي حساس، بايد يك محيط اختصاصي و مجزاي محاسباتي داشته باشند ایزو
4-7-7 نظارت بر دسترسي و استفاده سيستم
استفاده از برنامههاي كمكي سيستم، بايد به دقت كنترل و محدود شده باشد ایزو
4-7-5-6 هشدار اضطرار براي ايمن كردن كاربران
براي كاربراني كه ممكن است تحت فشار قرار گيرند، بايد، هشدارهاي لازم تهيه شود ایزو
4-7-5-7 خروج زماني پايانه
به منظور جلوگيري از دسترسي افراد غيرمجاز، ارتباط پايانههايي كه در محلهاي با مخاطره بالا هستند، يا سيستمهاي پر مخاطره توسط آنها اجرا ميشود چنانچه در يك بازه زماني تعريف شده غير فعال باشند، بايد بهصورت خودكار قطع شود ایزو
4-7-5-8 محدوديت زمان اتصال
به منظور اعمال حفاظت اضافي در استفاده از كاربردهاي پر مخاطره، بايد محدوديتهايي در زمان اتصال در نظر گرفته شود ایزو
4-7-6 كنترل دسترسي به برنامههاي كاربردي
4-7-5-1 شناسايي خودكار پايانه
به منظور تصديق اصالت اتصالات در محلهاي معين و تجهيزات قابل حمل بايد، شناسايي خودكار پايانه صورت گيرد ایزو
4-7-5-2 روالهاي ورود پايانه
دسترسي به خدمات اطلاعاتي، بايد با استفاده از يك فرايند ورود (آغاز به كار) امن صورت گيرد ایزو
4-7-5-3 شناسايي و تصديق اصالت كاربر
همه كاربران براي فعاليتهايشان، بايد داراي يك شناسه منحصر به فرد (شناسه كاربر) باشند، كه مخصوص خودشان باشد و از طريق آن بتوان افراد مسئول را رديابي كرد ایزو
4-7-5-4 سيستم مديريت كلمة عبور
يك سيستم مديريت كلمة عبور كه بتواند به طور مؤثر و متعامل از كيفيت كلمة عبور اطمينان حاصل نمايد، بايد به وجود بيايد ایزو
4-7-5-5 استفاده از برنامههاي كمكي سيستم
4-7-4-7 كنترل اتصال شبكه
ظرفيت اتصال كاربران در شبكههاي اشتراكي، بر اساس سياست كنترل دسترسي (4-7-1-1)، بايد محدود شود ایزو
4-7-4-8 كنترل مسيريابي شبكه
شبكههاي مشترك بايد داراي كنترل مسيريابي باشند تا اطمينان حاصل شود كه ارتباط رايانهها و جريان اطلاعات در آنها، سياست كنترل دسترسي به سيستمهاي كاربردي براي سازمان را كه در
4-7-1-1 تعيين شده است، نقض نمينمايد ایزو
4-7-4-9 حفاظت از خدمات شبكه
يك توصيف شفاف از خواص حفاظتي همة خدمات شبكة مورد استفاده توسط سازمان، بايد تهيه شود ایزو
4-7-5 كنترل دسترسي به سيستم عامل
اختصاص كلمات عبور به كاربران، بايد كنترل شده و بر اساس يك فرايند مديريت رسمي صورت گيرد ایزو
4-7-2-4 بازنگري حق دسترسي كاربر
يك فرايند رسمي به طور منظم و در فواصل زماني مناسب، بايد حق دسترسي كاربران را مرور ودر صورت لزوم بازنگري نمايد ایزو
4-7-3 مسئوليتهاي كاربر
4-7-3-1 استفادة كلمة عبور
كاربران، بايد در انتخاب و استفاده از كلمة عبور نهايت دقت را بنمايند ایزو
4-7-3-2 تجهيزات بدون مسئول مستقيم
كاربران، بايد از حفاظت تجهيزات بدون مسئول مستقيم اطمينان داشته باشند ایزو
4-7-4 كنترل دسترسي شبكه
4-7-4-1 سياست استفاده از خدمات شبكه
كاربران، بايد فقط بطور مستقيم به خدماتي كه براي آنها مجاز است، دسترسي داشته باشند ایزو
4-7-4-2 مسير تأكيد شده
مسير پايانه كاربر تا رايانه سرويسدهنده، بايد كنترل شده باشد ایزو
4-7-4-3 تصديق اصالت كاربر براي ارتباطات از بيرون
دسترسي براي كاربران راهدور، بايد بخشي از روال شناسايي و تصديق اصالت باشد ایزو
4-7-4-4 تصديق اصالت گره
اتصال به سيستمهاي رايانهاي راهدور، بايد تصديق اصالت شده باشند ایزو
4-7-4-5 حفاظت از پورتهاي عيبيابي از راهدور
دسترسي به پورتهايي كه براي عيبيابي از راهدور استفاده ميشوند، بايد كنترل شده باشد ایزو
4-7-4-6 جداسازي در شبكهها
در شبكهها، كنترلهايي براي گروههاي مختلف خدمات اطلاعاتي، كاربران و سيستمهاي اطلاعاتي بايد تعريف شوند ایزو
4-7-2-1 ثبت نام كاربر
براي ثبت نام و حذف كاربران، به منظور دسترسي به همة سيستمهاي اطلاعاتي چند كاربره و سرويسهاي آنها، بايد روالهايي رسمي وجود داشته باشد ایزو
4-7-2-2 مديريت اختيارات ويژه
اختصاص و استفاده از اختيارات ويژه بايد محدود و كنترل شده باشد ایزو
4-7-2-3 مديريت كلمة عبور كاربر
4-7-1-1 سياست كنترل دسترسي
الزامات سازماني براي كنترل دسترسي، بايد به خوبي تعريف و مستند شوند و دسترسي، بايد به آنچه كه سياست كنترل و دسترسي تعريف كرده است، محدود شود ایزو
4-7-2 مديريت دسترسي كاربر
4-6-7-5 حفاظت سيستمهاي دفتري الكترونيكي
براي حفاظت از سيستمهاي دفتري الكترونيكي و كنترل مخاطرات همراه با سيستمهاي الكترونيكي، بايد سياستها و رهنمودهاي معيني پياده شوند ایزو
4-6-7-6 سيستمهاي در دسترس عموم
قبل از اينكه اطلاعات به طور عمومي در دسترس قرار بگيرند بايد، يك فرآيند رسمي براي مجازسازي وجود داشته باشد و حفاظتهاي مربوط براي يكپارچگي و تغيير نكردن اطلاعات آن صورت بگيرد ایزو
4-6-7-7 شكلهاي ديگر مبادله اطلاعات
به منظور حفاظت تبادل اطلاعات در هنگام بكارگيري صوت، فاكس و امكانات ارتباطي ويدئويي بايد، رويهها و كنترلهايي تعبيه گردد ایزو
4-7 كنترل دسترسي
4-7-1 الزامات سازماني براي كنترل دسترسي
4-10-3-1 كنترلهاي مميزي سيستم
مميزيهاي سيستمهاي عملياتي، بايد بر اساس برنامه و توافقهاي انجام شده براي كاهش وقفه در فعاليتهاي سازمان، صورت بگيرد ایزو
4-10-3-2 حفاظت از ابزارهاي مميزي سيستم
به منظور استفاده نادرست يا مصالحه، دسترسي به ابزارهاي مميزي سيستم، بايد كنترل شوند ایزو
4-10-2-1 سازگاري با سياست حفاظت
مديران بايد اطمينان كسب كنند كه روالهاي حفاظتي متناسب با مسئوليتها، به درستي اجرا ميشوند و بازنگريهاي لازم بر طبق سياست و استانداردها، به طور مداوم صورت ميگيرد ایزو
4-10-2-2 كنترل سازگاري فني
براي سازگاري با استانداردهاي پيادهسازي حفاظت بايد سيستمهاي اطلاعاتي به طور منظم، كنترل شوند ایزو
4-10-3 ملاحظات مميزي سيستم
4-10-2 مرور سياست حفاظتي و سازگاري فني
4-10 سازگاري
4-10-1 سازگاري با الزامات قانوني
4-10-1-1 شناسايي قوانين مرتبط
همة الزامات قانوني و قراردادي مرتبط، براي هر سيستم اطلاعاتي، بايد به طور شفاف تعريف و مستند شده باشد ایزو
4-10-1-2 حقوق دارائيهاي فكري
براي اطمينان از سازگاري با محدوديتهاي قانوني حقوق داراييهاي فكري و استفادة صحيح از محصولات نرمافزاري، بايد روالهاي مناسب پياده شوند ایزو
4-10-1-3 حفاظت از مدارك و سوابق سازماني
مدارك و سوابق مهم سازمان بايد از گم شدن، خرابي يا استفاده نادرست حفاظت شوند ایزو
4-10-1-4 حفاظت داده و محرمانه بودن اطلاعات كاركنان
به منظور حفاظت از اطلاعات شخصي مطابق با قوانين و مقررات مربوطه، بايد كنترلهايي صورت گيرد ایزو
4-10-1-5 جلوگيري از استفاده نادرست از امكانات پردازش اطلاعات
استفاده از امكانات پردازش اطلاعات بايستي با اجازه مدير باشد و كنترلهاي لازم براي جلوگيري از استفاده نادرست از اين امكانات بايد صورت گيرد ایزو
4-10-1-6 مقررات حاكم بر رمزنگاري
براي اطمينان از سازگاري با قوانين رمزنگاري ملي و ديگر قوانين و مقررات، بايد كنترلهاي لازم صورت گيرد ایزو
4-10-1-7 جمعآوري مدرك
به منظور ارائه به مراجع ذيصلاح در محاكم دعاوي سازمان، بايد مدرك لازم در تمام زمينهها براساس استانداردها جمعآوري و نگهداري شده باشد ایزو
4-9-1-1 فرايند مديريت تداوم فعاليت
براي توسعه و نگهداري تداوم فعاليت در سازمان، بايد يك فرايند مديريت شده وجود داشته باشد ایزو
4-9-1-2 تداوم فعاليت و تحليل موانع
به منظور تداوم فعاليت، بايد يك برنامة راهبردي متناسب با برآورد مخاطره، مناسب براي كلية فعاليتها ايجاد شود ایزو
4-9-1-3 تدوين و پيادهسازي طرحهاي لازم جهت حفظ تداوم در روال كارها
به منظور نگهداري يا ازسرگيري فعاليتهاي كاري عادي سازمان در يك زمان مطلوب، پس از بروز وقفه و يا خرابي در كارهاي بحراني بايد طرحهايي تدوين گردد ایزو
4-9-1-4 چارچوب طراحي تداوم فعاليت
يك چارچوب واحد از طرحهاي تداوم فعاليت بايد ايجاد و نگهداري شود تا اطمينان حاصل گردد همة طرحها فراگير بوده و حاوي اولويتهاي آزمايش و نگهداري هستند ایزو
4-9-1-5 آزمايش، نگهداري و ارزيابي دوباره طرحهاي تداوم فعاليت
طرحهاي تداوم فعاليت، بايد به طور منظم آزمايش و نگهداري شوند، به طوري كه همواره اطمينان از به روز بودن و مؤثر بودن آنها وجود داشته باشد ایزو
خريد، استفاده و اصلاح نرمافزارها، بايد در مقابل هرگونه احتمال وجود كانالهاي مخفي و كد تروا كنترل شوند ایزو
4-8-5-5 توسعه نرمافزار توسط شخص ثالث
براي اطمينان از توسعه نرمافزار توسط شخص ثالث، بايد كنترلهايي صورت گيرد ایزو
4-9 مديريت تداوم فعاليت
4-9-1 جنبههاي مديريت تداوم فعاليت
4-8-5-1 روالهاي كنترل تغيير
پيادهسازي تغييرات، بايد دقيقاً بوسيله استفاده از روالهاي رسمي كنترل تغيير، كنترل شوند تا ميزان اتفاقات ناخواسته سيستمهاي اطلاعاتي كمينه گردد ایزو
4-8-5-2 مرور فني تغييرات سيستم عامل
در هنگام وقوع تغييرات، بايد سيستمهاي كاربردي مرور و آزمايش شوند ایزو
4-8-5-3 محدوديتهايي روي تغييرات در بستههاي نرمافزاري
از اصلاحات روي بستههاي نرمافزاري، بايد اجتناب شده و تغييرات اساسي بايد شديداً كنترل شوند ایزو
4-8-5-4 كانالهاي مخفي و كد تروا
4-8-4-1 كنترل نرمافزار عملياتي
در بكارگيري نرمافزار، در سيستمهاي عملياتي، بايد كنترل صورت گيرد ایزو
4-8-4-2 حفاظت از دادههاي آزمايش سيستم
دادههاي آزمايش سيستم، بايد كنترل و محافظت شوند ایزو
4-8-4-3 كنترل دسترسي به كتابخانه منبع برنامهها
براي دسترسي به كتابخانه منبع برنامهها، بايد كنترل شديدي صورت گيرد ایزو
4-8-5 حفاظت در فرايندهاي توسعه و پشتيباني
4-8-3-5 مديريت كليد
به منظور پشتيباني از روشهاي رمزنگاري، بايد يك سيستم مديريت كليد، بر طبق مجموعه استانداردها، روالها و روشهاي مورد توافق، پياده شود ایزو
4-8-4 حفاظت از پروندههاي سيستم
واژه های مرتبط: ایزو، گواهینامه ایزو ، استاندارد ایزو ، شرکت گواهی دهنده ایزو ، مشاوره ایزو ، مشاور ایزو، اخذ ایزو،ایزو 9001 ، الزامات ایزو
ایمیل :
نظر :