مديريت حفاظت اطلاعات ایزو

4-1-1-1    سند سياست حفاظت اطلاعات
سندي است محتوي سياست حفاظت اطلاعات، كه بايستي به وسيلة مديران تأييد و به نحو مناسب در دسترس كلية همكاران سازمان قرار گيرد ایزو

4-1-1-2    مرور و ارزيابي
سياست حفاظت اطلاعات، بايد به‏طور منظم و باتوجه به تغييرات احتمالي و به منظور اطمينان از مؤثر بودن آن، بازنگري شود ایزو
4-2     سازمان‏ حفاظت
4-2-1     زيرساخت حفاظت اطلاعات
4-2-1-1    گروه مديريتي حفاظت اطلاعات
به منظور اطمينان از توجه روشن و حمايت شفاف مديران از اصول حفاظت، بايد يك گروه مديريتي تشكيل گردد ایزو
4-2-1-2    هماهنگي حفاظت اطلاعات
به منظور هماهنگي در پياده‏سازي كنترل‏هاي حفاظت اطلاعات، متناسب با اندازة سازمان بايد يك گروه عملياتي  از مديران بخش‏هاي مختلف سازمان، وجود داشته باشد ایزو
4-2-1-3    تعيين مسئوليت‏هاي حفاظت اطلاعات
به منظور صيانت از دارايي‏هاي شخصي و اجراي دقيق فرايند حفاظتي بايد، مسئوليت‏ها به طور واضح تعريف شود ایزو
4-2-1-4    فرايند مجازسازي براي امكان پردازش اطلاعات
براي امكانات جديد پردازش اطلاعات، بايد يك فرايند مديريت مجازسازي ايجاد گردد ایزو
4-2-1-5    مشورت با نيروهاي متخصص حفاظت اطلاعات
به منظور مؤثر كردن روش‏هاي حفاظتي، آگاهي از نظرات نيروهاي داخلي يا مشاورين مرتبط با سازمان الزامي است ایزو
 
4-2-1-6    همكاري بين سازمان‏ها
در سازمان حفاظت، ارتباط‏هاي مناسب با اشخاص و مؤسسات حقوقي، تأمين‏كنندگان خدمات اطلاعاتي  و اپراتورهاي مخابرات راه دور بايستي در نظر گرفته شود ایزو
4-2-1-7    مرور مستقل حفاظت اطلاعات
نحوه پياده‏سازي‏ سياست حفاظت اطلاعات، بايد بطور جداگانه ديده شده باشد ایزو
4-2-2     حفاظت از دستيابي شخص ثالث
4-2-2-1    شناسايي مخاطرات ناشي از دسترسي شخص ثالث
مخاطراتي كه به وسيله دسترسي شخص ثالث (حقوقي و حقيقي) به امكانات پردازش اطلاعات سازمان وجود دارد، بايد ارزيابي شده و كنترل‏هاي حفاظتي مناسب، در آن موارد پياده شوند ایزو
4-2-2-2    پيش‏بيني الزامات حفاظتي در قراردادهاي شخص ثالث
دسترسي شخص ثالث به امكانات پردازش اطلاعات سازمان بايستي بر اساس قراردادي رسمي حاوي كليه الزامات حفاظتي لازم باشد ایزو
4-2-3     واگذاري فعاليت به بيرون سازمان
4-2-3-1    الزامات حفاظتي در قراردادهاي واگذاري فعاليت به بيرون سازمان
هنگامي كه تمام يا بخشي از مديريت و كنترل سيستم‏هاي اطلاعاتي، شبكه و فعاليت‏هاي دفتري سازمان به سازمان ديگري واگذار مي‏شود، الزامات حفاظتي، بايد در قرارداد بين طرفين در نظر گرفته شده باشد ایزو

4-3    طبقه‏بندي و كنترل دارايي‏ها
4-3-1    قابليت حسابرسي دارايي‏ها
4-3-1-1    ايجاد فهرستي از دارايي‏ها
يك فهرست از همة دارايي‏هاي مهم، بايد تنظيم و نگهداري شود ایزو

4-3-2    طبقه‏بندي اطلاعات
رهنمودهاي طبقه‏بندي
طبقه‏بندي‏ها و كنترل‏هاي حفاظت اطلاعات مربوطه، بايستي متناسب با نيازهاي سازماني جهت به اشتراك گذاشتن و يا محدود‏سازي اطلاعات و تأثيرات سازماني مرتبط با اين نيازها باشند ایزو
4-3-2-2    جابجايي و علامت‏گذاري اطلاعات
براي جابجايي و علامت‏گذاري اطلاعات، مطابق با رويه‏هاي طبقه‏بندي سازمان، بايد مجموعه‏اي از روال‏ها تعريف شوند ایزو

4-4- حفاظت كاركنان
4-4-1    حفاظت در شرح شغل و كاريابي
    لحاظ نمودن مسائل حفاظتي در مسئوليت‏هاي شغلي
نقش‏ها و مسئوليت‏هاي حفاظتي، بايد در سياست حفاظت اطلاعات سازمان در نظر گرفته شود و به صورت مناسب و مستند در شرح شغل درج گردد ایزو
4-4-1-2    گزينش كاركنان
در مورد كاركنان دائم، بايد در زمان درخواست كار كنترل‏ها و تأييدهاي لازم صورت گيرد ایزو
4-4-1-3    توافق‏نامة محرمانه بودن اطلاعات سازماني
كاركنان، بايد توافق‏نامة محرمانه بودن اطلاعات سازماني را به عنوان بخشي از شرايط قراردادي خود، در هنگام استخدام امضاء نمايند ایزو
4-4-1-4    ضوابط استخدامي
ضوابط استخدامي بايستي حاوي مسئوليت‏هاي كاركنان در زمينه حفاظت اطلاعات باشد ایزو
4-4-2    آموزش كاربر
4-4-2-1     آموزش دانش حفاظت اطلاعات
همة كاركنان سازمان و در مواقع لزوم اشخاص ثالث، بايد به  نحوي مناسب و منظم در مورد روال‏ها و سياست‏هاي حفاظتي سازمان  آموزش ببينند ایزو
4-4-3    پاسخ به حوادث و اشتباهات مربوط به حفاظت
4-4-3-1    گزارش حوادث حفاظتي
حوادث حفاظتي پس از كشف، بايد در كوتاه‏ترين زمان ممكن از طريق مجاري مديريتي مناسب گزارش شوند ایزو
4-4-3-2    گزارش ضعف‏هاي حفاظتي
كاربران خدمات اطلاعاتي، ضروري است هرگونه ضعف و تهديد حفاظتي روي خدمات و سيستم‏ها را يادداشت و گزارش نمايند ایزو
4-4-3-3    گزارش اشتباهات نرم‏افزاري
روال‏هايي به منظور پيگيري گزارش‏هاي اشتباهات نرم‏افزاري، بايد ايجاد شوند ایزو
4-4-3-4     يادگيري از حوادث
براي اينكه، نوع، اندازه و هزينه اشتباهات و حوادث قابل اندازه‏گيري و نمايش شوند بايد مكانيزم‏هايي ايجاد شوند ایزو  
4-4-3-5    فرايند انضباطي
يك فرايند انضباطي رسمي براي تخلف از سياست‏هاي حفاظتي سازمان و روال‏هايي كه كاركنان لازم است رعايت نمايند، بايد ايجاد گردد ایزو
4-5    حفاظت فيزيكي و محيطي
4-5-1    محيط‏هاي ايمن
4-5-1-1    ميدان حفاظت فيزيكي
سازمان‏ها، بايد از ميدان‏هاي حفاظتي، براي حفاظت از محل‏هاي نگهداري تجهيزات پردازش اطلاعات استفاده كنند ایزو
4-5-1-2    كنترل‏هاي ورودي فيزيكي
محل‏هاي ايمن، بايد بوسيله كنترل‏هاي ورودي مناسب محافظت شوند تا اطمينان حاصل شود فقط افراد مجاز مي‏توانند دسترسي داشته باشند ایزو
4-5-1-3    ايمن‏سازي دفاتر، اتاقها و امكانات
به منظور حفاظت از دفاتر، اتاق‏ها و امكانات با نيازهاي حفاظتي خاص، بايد محل‏هاي ايمن ايجاد گردند ایزو
4-5-1-4    كار در محل‏هاي ايمن
براي كار در محل‏هاي ايمن، بايد كنترل‏هاي اضافي و رهنمودهاي تكميلي مورد استفاده قرار گيرد تا از ايمن بودن اين محل‏ها اطمينان لازم حاصل شود ایزو
4-5-1-5    مجزاسازي محل‏هاي انتقال و بارگيري اطلاعات
محل‏هاي انتقال و بارگيري اطلاعات، بايد كنترل شود و درصورت امكان مجزا از محل تجهيزات پردازش اطلاعات باشد، ‌تا از دستيابي‏هاي غيرمجاز جلوگيري شود ایزو

4-5-2    حفاظت تجهيزات
4-5-2-1    استقرار و حفاظت تجهيزات
تجهيزات، بايد در محل مناسب و محافظت شده‏اي قرار داشته باشند ایزو تا مخاطرات و تهديد‏هاي محيطي و امكان دسترسي غيرمجاز كاهش يابد ایزو
4-5-2-2    منابع تغذيه
تجهيزات، بايد از هرگونه صدمات ناشي از قطع يا خرابي منابع تغذيه محافظت شوند ایزو
4-5-2-3    حفاظت كابل‏كشي
به منظور جلوگيري از هرگونه خسارت يا قطع شدن، بايد كابل‏كشي‏هاي برق، داده‏ها و تلفن مورد استفاده در خدمات اطلاعاتي، محافظت شوند ایزو
4-5-2-4    نگهداري تجهيزات
تجهيزات، جهت اطمينان از تداوم فعاليت و يكپارچگي، متناسب با دستورالعمل‏هاي سازنده يا روال‏هاي مستند شده، بايد نگهداري شوند ایزو
4-5-2-5    حفاظت از تجهيزات در هنگام استفاده بيروني
به منظور حفاظت از تجهيزات در هنگام استفاده در بيرون سازمان، بايد روال‏هاي حفاظتي ايجاد شوند ایزو
4-5-2-6    دور ريختن يا استفاده مجدد از تجهيزات به صورت مطمئن
قبل از دور ريختن يا استفادة مجدد از تجهيزات، اطلاعات بايد از روي آنها پاك شود ایزو
4-5-3    كنترل‏هاي عمومي
4-5-3-1    سياست ميز و صفحه پاك
به منظور كاهش مخاطرات ناشي از دسترسي غيرمجاز و فقدان يا صدمه به اطلاعات، سازمان‏ها بايستي سياست ميز پاك و صفحه پاك را اختيار و اجرا كنند ایزو
4-5-3-2    جابجايي اموال
تجهيزات، اطلاعات يا نرم‏افزار متعلق به سازمان، نبايد بدون اجازه جابجا شود ایزو

4-6    مديريت ارتباطات  و عمليات
4-6-1    روال‏هاي عملياتي و مسئوليت‏ها
4-6-1-1    روال‏هاي عملياتي مستند شده
روال‏هاي عملياتي شناسايي شده در سياست حفاظت (4-1-1-1) بايد مستند و نگهداري شوند ایزو
4-6-1-2    كنترل تغيير عملياتي
تغييرات در تجهيزات و سيستم‏هاي پردازش اطلاعات، بايد كنترل شده باشند ایزو
4-6-1-3    روال‏هاي مديريت حادثه
به منظور اطمينان از پاسخ سريع، مؤثر و مناسب به حوادث، بايد روال‏ها و مسئوليت‏‏هاي مديريت حادثه برقرار گردند ایزو
4-6-1-4    تفكيك وظايف
به منظور كاهش فرصت‏هاي تغييرات غيرمجاز و استفادة نابجا از اطلاعات و خدمات، وظايف و محدودة مسئوليت‏‏ها بايد تفكيك گردند ایزو
4-6-1-5    جداسازي امكانات توسعه و عملياتي
امكانات آزمايش و توسعه بايد از امكانات عملياتي مجزا شوند ایزو
4-6-1-6    مديريت امكانات خارج سازماني
قبل از استفاده از خدمات قابل ارائه توسط مديريت امكانات خارج از سازمان، بايد مخاطرات دقيقاً شناسايي و روش‏هاي كنترلي مناسب كه مورد توافق طرف قرارداد و سازمان باشد، در قرارداد گنجانده شوند ایزو

4-6-2    برنامه‏ريزي و پذيرش سيستم  
4-6-2-1    برنامه‏ريزي ظرفيت
برنامه‏ريزي لازم براي توان پردازش و ظرفيت ذخيره‏سازي اطلاعات در دسترس، بايد با در نظر گرفتن تقاضاهاي فعلي و آتي سيستم صورت پذيرد ایزو
4-6-2-2    پذيرش سيستم
معيار پذيرش سيستم‏هاي اطلاعاتي جديد و نسخه‏هاي جديد و به روز شده سيستم‏ها، بايد مستند شده و قبل از پذيرش و جايگزيني سيستم قبلي، آزمايش‏هاي كافي صورت گيرد ایزو
4-6-3    حفاظت در برابر نرم‏افزار مخرب
-6-3-1    كنترل‏ها در برابر نرم‏افزار مخرب
روال‏هاي كنترلي، براي شناسايي، مقابله با نرم‏افزار مخرب و آگاهي كاربران از آنها بايد پياده شوند ایزو
4-6-4    اداره كردن
4
4-6-4-1    ايجاد پشتيبان اطلاعات
از اطلاعات مهم و اساسي و نرم‏افزارها، بايد به طور منظم نسخه‏هاي پشتيبان تهيه گردد ایزو
4-6-4-2    ثبت‏هاي مجري
كاركنان عملياتي، بايد فعاليت‏هاي خود را ثبت نمايند ایزو
4-6-4-3    ثبت خرابي
خرابي‏ها بايد گزارش شده و عمليات تصحيح آنها، انجام شوند ایزو
4-6-5    مديريت شبكه
4-6-5-1    كنترل‏هاي شبكه
به منظور دستيابي به امنيت شبكه و حفظ آن بايد مجموعه‏اي از كنترل‏ها اعمال گردد ایزو
4-6-6    جابجايي محيط ذخيره و حفاظت
4-6-6-1    مديريت محيط‏هاي رايانه‏اي قابل جابجايي
مديريت محيط‏هاي رايانه‏اي قابل جابجايي نظير نوار، ديسك، كاست و گزارش‏هاي چاپ شده، بايد كنترل شده باشد ایزو
4-6-6-2    دور انداختن محيط‏هاي ذخيره
محيط‏هاي ذخيره‏اي كه ديگر مورد نياز نيستند، بايد بصورت امن و محافظت‏شده دور ريخته شوند ایزو
4-6-6-3    روال‏هاي جابجايي اطلاعات
به منظور حفاظت اطلاعات در مقابل استفاده نابجا و غيرمجاز بايد، روال‏هايي جهت جابجايي و انبار كردن (محيط‏هاي ذخيره) اطلاعات ايجاد شود ایزو
4-6-6-4    حفاظت از مستندات سيستم
مستندات سيستم، بايد از دسترسي غيرمجاز محافظت گردند ایزو
4-6-7    تبادل اطلاعات و نرم‏افزار
4-6-7-1    توافق‏نامه‏هاي تبادل اطلاعات و نرم‏افزار
چه براي تبادل دستي و چه براي تبادل الكترونيكي اطلاعات و نرم‏افزار بين سازمان‏ها، بايد توافق‏نامه‏هايي كه مي‏توانند رسمي باشند، تهيه گردند ایزو
4-6-7-2    حفاظت محيط‏هاي ذخيره در حال حمل و نقل
محيط‏ ذخيره‏اي كه جابه‏جا مي‏شود بايد از دسترسي غيرمجاز، صدمه يا استفادة نابجا حفاظت گردد ایزو
4-6-7-3    حفاظت تجارت الكترونيكي
تجارت الكترونيكي، بايد در مقابل فعاليت‏هاي غيرقانوني، آشكارسازي يا تغيير در اطلاعات آن، محافظت شود ایزو
4-6-7-4    حفاظت از پست الكترونيكي
براي استفاده از پست الكترونيكي، بايد سياست ويژه‏اي تدوين گردد و كنترل‏هاي لازم براي كاهش مخاطرات حفاظتي آن صورت گيرد ایزو
صحت و تناسب داده ورودي سيستم‏هاي كاربردي، بايد تأييد شوند ایزو
4-8-2-2    كنترل حين پردازش
براي تأييد و قابل قبول بودن داده‏هاي پردازش شده، بايد كنترل‏هايي در سيستم‏ها تعبيه شود تا انحراف تشخيص داده شود ایزو
4-8-2-3    تصديق اصالت پيام
براي برنامه‏هاي كاربردي كه نياز به حفاظت از يكپارچگي محتويات پيام دارند، بايد تصديق اصالت پيام صورت گيرد ایزو
4-8-2-4    تأييد داده‏هاي خروجي
براي اطمينان از اينكه پردازش اطلاعات ذخيره شده، صحيح و متناسب با شرايط بوده، بايد خروجي سيستم‏هاي كاربردي مورد تأييد قرار گيرند ایزو

4-8-3  كنترل‏هاي رمزنگاري
4-8-3-1    سياست استفاده از كنترل‏هاي رمزنگاري
براي حفاظت اطلاعات، بايد سياستي در جهت استفاده از كنترل‏هاي رمزنگاري، تدوين و از آن پيروي گردد ایزو
4-8-3-2     رمزگذاري
براي حفاظت از اطلاعات حساس و مهم، بايد رمزگذاري صورت گيرد ایزو
4-8-3-3    امضاء رقومي
به منظور حفاظت از تصديق اصالت، مجازسازي و يكپارچگي اطلاعات الكترونيكي، بايد امضاءهاي رقومي به كار برده شوند ایزو
4-8-3-4    خدمات غيرقابل انكار  
به منظور حل اختلافات در مورد وقوع يا عدم وقوع يك رويداد يا عمل، بايد خدمات غيرقابل انكار مورد استفاده قرار گيرند ایزو
به منظور نظارت بر استفاده از امكانات پردازش اطلاعات بايد روال‏هايي ايجاد شود و نتيجه‏هاي آن، به صورت منظم مرور شود ایزو
4-7-7-3    همزماني ساعت
ساعت رايانه‏ها، بايد به منظور ثبت دقيق وقايع همزمان باشند ایزو

4-7-8    محاسبه سيار و كار از راه دور
4-7-8-1    پردازش سيار
كنترل‏هاي مربوطه، براي مقابله با مخاطرات كار با امكانات محاسبه سيار، به ويژه در محيط‏هاي غير حفاظت شده، بايستي پذيرفته شوند و يك سياست رسمي تدوين شود ایزو
4-7-8-2    كار از راه دور
به منظور كنترل و مجازسازي در فعاليت‏هاي راه‏دور، بايد سياست‏ها و روال‏هايي تدوين و اجرا گردند ایزو

4-8    توسعه و نگهداري سيستم‏ها
4-8-1    الزامات حفاظتي سيستم‏ها
4-8-1-1    تحليل و تعيين الزامات حفاظتي
الزامات سازمان به سيستم‏هاي جديد يا گسترش سيستم‏هاي موجود، بايد حاوي الزامات كنترلي باشد ایزو
4-8-2- حفاظت در سيستم‏هاي كاربردي
4-8-2-1- تأييد داده ورودي  
4-7-7-1    ثبت وقايع
وقايع به ويژه استثنايي، بايد براي يك مدت مورد توافق، ثبت و نگهداري شوند تا در رسيدگي‏هاي آتي جهت نظارت بر كنترل دسترسي استفاده شوند ایزو
4-7-7-2    نظارت بر استفاده از سيستم
4-7-6-1    محدوديت دسترسي به اطلاعات
دسترسي به اطلاعات و سيستم كاربردي، بايد بر اساس با سياست تعريف شده كنترل دسترسي
(4-7-1-1)،  محدود شود ایزو
4-7-6-2    مجزا سازي سيستم‏هاي حساس
سيستم‏هاي حساس، بايد يك محيط اختصاصي و مجزاي محاسباتي داشته باشند ایزو
4-7-7    نظارت بر دسترسي و استفاده سيستم
استفاده از برنامه‏هاي كمكي سيستم، بايد به دقت كنترل و محدود شده باشد ایزو
4-7-5-6    هشدار اضطرار براي ايمن كردن كاربران
براي كاربراني كه ممكن است تحت فشار قرار گيرند، بايد، هشدارهاي لازم تهيه شود ایزو
4-7-5-7    خروج زماني پايانه  
به منظور جلوگيري از دسترسي افراد غيرمجاز، ارتباط پايانه‏هايي كه در محل‏هاي با مخاطره بالا هستند، يا سيستم‏هاي پر مخاطره توسط آنها اجرا مي‏شود چنانچه در يك بازه زماني تعريف شده غير فعال باشند، بايد به‏صورت خودكار قطع شود ایزو
4-7-5-8    محدوديت زمان اتصال
به منظور اعمال حفاظت اضافي در استفاده از كاربردهاي پر مخاطره، بايد محدوديت‏هايي در زمان اتصال در نظر گرفته شود ایزو

4-7-6    كنترل دسترسي به برنامه‏هاي كاربردي
4-7-5-1    شناسايي خودكار پايانه
به منظور تصديق اصالت اتصالات در محل‏هاي معين و تجهيزات قابل حمل بايد، شناسايي خودكار پايانه صورت گيرد ایزو
4-7-5-2    روال‏هاي ورود پايانه
دسترسي به خدمات اطلاعاتي، بايد با استفاده از يك فرايند ورود (آغاز به كار) امن صورت گيرد ایزو
4-7-5-3    شناسايي و تصديق اصالت كاربر
همه كاربران براي فعاليت‏هايشان، بايد داراي يك شناسه منحصر به فرد (شناسه كاربر) باشند، كه مخصوص خودشان باشد و از طريق آن بتوان افراد مسئول را رديابي كرد ایزو
4-7-5-4    سيستم مديريت كلمة عبور
يك سيستم مديريت كلمة عبور كه بتواند به طور مؤثر و متعامل از كيفيت كلمة عبور اطمينان حاصل نمايد، بايد به وجود بيايد ایزو
4-7-5-5    استفاده از برنامه‏هاي كمكي سيستم  
4-7-4-7    كنترل اتصال شبكه
ظرفيت اتصال كاربران در شبكه‏هاي اشتراكي، بر اساس سياست كنترل دسترسي (4-7-1-1)، بايد محدود شود ایزو
4-7-4-8    كنترل مسيريابي شبكه
شبكه‏هاي مشترك بايد داراي كنترل مسيريابي باشند تا اطمينان حاصل شود كه ارتباط رايانه‏ها و جريان اطلاعات در آنها، سياست كنترل دسترسي به سيستم‏هاي كاربردي براي سازمان را كه در
4-7-1-1 تعيين شده است، نقض نمي‏نمايد ایزو
4-7-4-9    حفاظت از خدمات شبكه
يك توصيف شفاف از خواص حفاظتي همة خدمات شبكة مورد استفاده توسط سازمان، بايد تهيه شود ایزو
4-7-5    كنترل دسترسي به سيستم عامل
اختصاص كلمات عبور به كاربران، بايد كنترل شده و بر اساس يك فرايند مديريت رسمي صورت گيرد ایزو
4-7-2-4    بازنگري حق دسترسي كاربر
يك فرايند رسمي به طور منظم و در فواصل زماني مناسب، بايد حق دسترسي كاربران را مرور ودر صورت لزوم بازنگري نمايد ایزو
4-7-3    مسئوليت‏‏هاي كاربر
4-7-3-1    استفادة كلمة عبور
كاربران، بايد در انتخاب و استفاده از كلمة عبور نهايت دقت را بنمايند ایزو
4-7-3-2    تجهيزات بدون مسئول مستقيم
كاربران، بايد از حفاظت تجهيزات بدون مسئول مستقيم اطمينان داشته باشند ایزو
4-7-4    كنترل دسترسي شبكه
4-7-4-1    سياست استفاده از خدمات شبكه
كاربران، بايد فقط بطور مستقيم به خدماتي كه براي آنها مجاز است، دسترسي داشته باشند ایزو
4-7-4-2    مسير تأكيد شده
مسير پايانه كاربر تا رايانه سرويس‏دهنده، بايد كنترل شده باشد ایزو
4-7-4-3    تصديق اصالت كاربر براي ارتباطات از بيرون
دسترسي براي كاربران راه‏دور، بايد بخشي از روال شناسايي و تصديق اصالت باشد ایزو
4-7-4-4    تصديق اصالت گره
اتصال به سيستم‏هاي رايانه‏اي راه‏دور، بايد تصديق اصالت شده باشند ایزو
4-7-4-5    حفاظت از پورت‏هاي عيب‏يابي از راه‏دور
دسترسي به پورت‏هايي كه براي عيب‏يابي از راه‏دور استفاده مي‏شوند، بايد كنترل شده باشد ایزو
4-7-4-6    جداسازي در شبكه‏ها
در شبكه‏ها، كنترل‏هايي براي گروه‏هاي مختلف خدمات اطلاعاتي، كاربران و سيستمهاي اطلاعاتي بايد تعريف شوند ایزو
4-7-2-1    ثبت نام كاربر
براي ثبت نام و حذف كاربران، به منظور دسترسي به همة سيستم‏هاي اطلاعاتي چند كاربره و سرويس‏هاي آنها، بايد روال‏هايي رسمي وجود داشته باشد ایزو
4-7-2-2    مديريت اختيارات ويژه
اختصاص و استفاده از اختيارات ويژه بايد محدود و كنترل شده باشد ایزو
4-7-2-3    مديريت كلمة عبور كاربر
4-7-1-1    سياست كنترل دسترسي
الزامات سازماني براي كنترل دسترسي، بايد به خوبي تعريف و مستند شوند و دسترسي، بايد به آنچه كه سياست كنترل و دسترسي تعريف كرده است، محدود شود ایزو
4-7-2    مديريت دسترسي كاربر
4-6-7-5    حفاظت سيستم‏هاي دفتري الكترونيكي
براي حفاظت از سيستم‏هاي دفتري الكترونيكي و كنترل مخاطرات همراه با سيستم‏هاي الكترونيكي، بايد سياست‏ها و رهنمودهاي معيني پياده شوند ایزو
4-6-7-6    سيستم‏هاي در دسترس عموم
قبل از اينكه اطلاعات به طور عمومي در دسترس قرار بگيرند بايد، يك فرآيند رسمي براي مجازسازي وجود داشته باشد و حفاظت‏هاي مربوط براي يكپارچگي و تغيير نكردن اطلاعات آن صورت بگيرد ایزو
4-6-7-7    شكل‏هاي ديگر مبادله اطلاعات
به منظور حفاظت تبادل اطلاعات در هنگام بكارگيري صوت، فاكس و امكانات ارتباطي ويدئويي بايد، رويه‏ها و كنترل‏هايي تعبيه گردد ایزو

4-7    كنترل دسترسي
4-7-1    الزامات سازماني براي كنترل دسترسي
4-10-3-1    كنترل‏هاي مميزي سيستم
مميزي‏هاي سيستم‏هاي عملياتي، بايد بر اساس برنامه و توافق‏هاي انجام شده براي كاهش وقفه در فعاليت‏هاي سازمان، صورت بگيرد ایزو
4-10-3-2    حفاظت از ابزارهاي مميزي سيستم
به منظور استفاده نادرست يا مصالحه، دسترسي به ابزارهاي مميزي سيستم، بايد كنترل شوند ایزو
4-10-2-1    سازگاري با سياست حفاظت
مديران بايد اطمينان كسب كنند كه روال‏هاي حفاظتي متناسب با مسئوليت‏ها، به درستي اجرا مي‏شوند و بازنگري‏هاي لازم بر طبق سياست و استانداردها، به طور مداوم صورت مي‏گيرد ایزو
4-10-2-2    كنترل سازگاري فني
براي سازگاري با استانداردهاي پياده‏سازي حفاظت بايد سيستم‏هاي اطلاعاتي به طور منظم، كنترل شوند ایزو
4-10-3    ملاحظات مميزي  سيستم
4-10-2    مرور سياست حفاظتي و سازگاري فني

4-10    سازگاري
4-10-1    سازگاري با الزامات قانوني
4-10-1-1    شناسايي قوانين مرتبط
همة الزامات قانوني و قراردادي مرتبط، براي هر سيستم اطلاعاتي، بايد به طور شفاف تعريف و مستند شده باشد ایزو
4-10-1-2    حقوق دارائي‏هاي فكري
براي اطمينان از سازگاري با محدوديت‏هاي قانوني حقوق دارايي‏هاي فكري و استفادة صحيح از محصولات نرم‏افزاري، بايد روال‏هاي مناسب پياده شوند ایزو
4-10-1-3    حفاظت از مدارك و سوابق سازماني
مدارك و سوابق مهم سازمان بايد از گم شدن، خرابي يا استفاده نادرست حفاظت شوند ایزو
4-10-1-4    حفاظت داده و محرمانه بودن اطلاعات كاركنان
به منظور حفاظت از اطلاعات شخصي مطابق با قوانين و مقررات مربوطه، بايد كنترل‏هايي صورت گيرد ایزو
4-10-1-5    جلوگيري از استفاده نادرست از امكانات پردازش اطلاعات
استفاده از امكانات پردازش اطلاعات بايستي با اجازه مدير باشد و كنترل‏هاي لازم  براي جلوگيري از استفاده نادرست از اين امكانات بايد صورت گيرد ایزو
4-10-1-6    مقررات حاكم بر رمزنگاري
براي اطمينان از سازگاري با قوانين رمزنگاري ملي و ديگر قوانين و مقررات، بايد كنترل‏هاي لازم صورت گيرد ایزو
4-10-1-7    جمع‏آوري مدرك
به منظور ارائه به مراجع ذيصلاح در محاكم دعاوي سازمان، بايد مدرك لازم  در تمام زمينه‏ها براساس استانداردها جمع‏آوري و نگهداري شده باشد ایزو
4-9-1-1    فرايند مديريت تداوم فعاليت
براي توسعه و نگهداري تداوم فعاليت در سازمان، بايد يك فرايند مديريت شده وجود داشته باشد ایزو
4-9-1-2    تداوم فعاليت و تحليل موانع
به منظور تداوم فعاليت، بايد يك برنامة راهبردي متناسب با برآورد مخاطره، مناسب براي كلية فعاليت‏ها ايجاد شود ایزو
4-9-1-3    تدوين و پياده‏سازي طرح‏هاي لازم جهت حفظ تداوم در روال كارها
به منظور نگهداري يا ازسرگيري فعاليت‏هاي كاري عادي سازمان در يك زمان مطلوب، پس از بروز وقفه و يا خرابي در كارهاي بحراني بايد طرح‏هايي تدوين گردد ایزو
4-9-1-4    چارچوب طراحي تداوم فعاليت
يك چارچوب واحد از طرح‏هاي تداوم فعاليت بايد ايجاد و نگهداري شود تا اطمينان حاصل گردد همة طرح‏ها فراگير بوده و حاوي اولويت‏هاي آزمايش و نگهداري هستند ایزو
4-9-1-5    آزمايش، نگهداري و ارزيابي دوباره طرح‏هاي تداوم فعاليت
طرح‏هاي تداوم فعاليت، بايد به طور منظم آزمايش و نگهداري شوند، به طوري كه همواره اطمينان از به روز بودن و مؤثر بودن آنها وجود داشته باشد ایزو
خريد، استفاده و اصلاح نرم‏افزارها، بايد در مقابل هرگونه احتمال وجود كانال‏هاي مخفي و كد تروا كنترل شوند ایزو
4-8-5-5    توسعه نرم‏افزار توسط شخص ثالث
براي اطمينان از توسعه نرم‏افزار توسط شخص ثالث، بايد كنترل‏هايي صورت گيرد ایزو

4-9    مديريت تداوم فعاليت
4-9-1    جنبه‏هاي مديريت تداوم فعاليت
4-8-5-1    روال‏هاي كنترل تغيير
پياده‏سازي تغييرات، بايد دقيقاً بوسيله استفاده از روال‏هاي رسمي كنترل تغيير، كنترل شوند تا ميزان اتفاقات ناخواسته سيستم‏هاي اطلاعاتي كمينه گردد ایزو
4-8-5-2    مرور فني تغييرات سيستم عامل
در هنگام وقوع تغييرات، بايد سيستم‏هاي كاربردي مرور و آزمايش شوند ایزو
4-8-5-3    محدوديت‏هايي روي تغييرات در بسته‏هاي نرم‏افزاري
از اصلاحات روي بسته‏هاي نرم‏افزاري، بايد اجتناب شده و تغييرات اساسي بايد شديداً كنترل شوند ایزو
4-8-5-4    كانال‏هاي مخفي و كد تروا
4-8-4-1    كنترل نرم‏افزار عملياتي
در بكارگيري نرم‏افزار، در سيستم‏هاي عملياتي، بايد كنترل صورت گيرد ایزو
4-8-4-2    حفاظت از داده‏هاي آزمايش سيستم
داده‏هاي آزمايش سيستم، بايد كنترل و محافظت شوند ایزو
4-8-4-3    كنترل دسترسي به كتابخانه منبع برنامه‏ها
براي دسترسي به كتابخانه منبع برنامه‏ها، بايد كنترل شديدي صورت گيرد ایزو
4-8-5    حفاظت در فرايندهاي توسعه و پشتيباني
4-8-3-5    مديريت كليد
به منظور پشتيباني از روش‏هاي رمزنگاري، بايد يك سيستم مديريت كليد، بر طبق  مجموعه استانداردها،  روال‏ها و روش‏هاي مورد توافق، پياده شود ایزو
4-8-4    حفاظت از پرونده‏هاي سيستم
واژه های مرتبط: ایزو، گواهینامه ایزو ، استاندارد ایزو ، شرکت گواهی دهنده ایزو ، مشاوره ایزو ، مشاور ایزو، اخذ ایزو،ایزو 9001 ، الزامات ایزو