Post on 30-Dec-2015
Protection vision Percentage
Physical Asset protection 82%
Non Physical Asset protection 18%
physicel asse vulnerability 57%
ISMS DEFINE : Information Security Management System is the overall management system base on a business risk approach , to establish ,implement, operate ,monitor and improve information security . ISMS includes organizational structure , policies , planning activities , responsibilities , practices , procedures , processes and resources
WHO CAN USE ISMS : This standard can be used by : Internal parties Managers an staffsAll stakeholders External parties Suppliers CustomersThird parties Sertification bodies
Information security began from 1992 Code of practice for information security mgmt ( management) Code of practice – BS( Britain standard ) 7799- part 1 in 1995
این استاندارد مشابه استاندارد اول بود با این تفاوت ( کنترل های آن افزایش code of practiceکه تعداد )
یافت و قابلیت پوشش سازمانهایی که کامپیوتر داشتند و آنهایی که کامپیوتر نداشتند را داشت
Revised version of BS 7799- part 2 in 1999 دراین استاندارد تعداد کنترل ها بازهم افزایش پیدا کرد و صحبتهایی هم در مورد مدیریت ریسک به میان آمد
اولین نسخه استاندارد امنیت 2000و سرانجام در سال شد که در آن تعداد publishedاطالعات توسط آی زو
100کنترل های به شدت افزایش یافت وبه حدود کنترل رسید
The first version of standard published BS 2002 فعالیت های خود را متوقف نکرد ودرسال
مدیریت ریسک را نیز به استانداردهای خود اضافه نمود وارد بازار کرد . می توان BS 7799-2 :2002و تحت عنوان
وارد نشده بود risk managementگفت تا مادامی که استاندارد به ما ماهی می فروخت وبعد از ان ماهی
گیری را به ما آموخت به بیان دیگر از ما خواست که به دنبال تعریف کنترل های جدید باشیم و در توسعه و
ارتقاء استاندارد شریک گردیم .
ISO /IEC STANDARD Description
27000 Vocabulary and definitios
27001 Requirement
27002 Code of practice ( iso 17799 :2005 )
27003 Implementation guidance
27004 Metrics and measurement
27005 Risk management
1992 code of practice for information security mgmt 1995 code of practice – BS77991999 revised version of BS77992000 ISO/IEC 17799 : 2000 published 2004 BS7799 -2 : 2002 2005 new ISO/IEC 17799 :2005
یه شرح جدل زیر isoاستاندارد های جدید در دست تدوین است : New standard category :
Process approach : A process approach is include of : ( ISO27001)•Understanding business information security requirements and the need to establish policy and objectives for the information security درک الزمات امنیت اطالعات •Implementing and operating controls in the contex of managing and organization’s overall business risk •Monitoring and reviewing the performance and effectiveness of the ISMS•Continual improvement based on objective measurement
Continual improvement of the information security management system
Interested parties
Managed information
security
Interested parties
Information security
requirement and
expectation
Establish ISMS
(4.2.1)a
Implement andOperate isms
(4.2.2)a
Monitor and Review isms
(4.2.3)a
Maintain andImprove isms
4.2.4a
input output
Information security management system
Critical success factors :•Information security policy , objectives and activities that reflect business objectives
isms بازگو کننده اهداف و سیاست های سازمان باشد
•Approach to information security consistent with the organizational culture
باید با فرهنگ سازمانی تطابق داشته باشد•Visible support and commitment from all levels of management حمایت شفاف و تعهد و الزام تمام مدیران الیه های
مختلف•A good underatanding of the information security requirement , risk assessment and risk management • Effective Awareness of information security to all managers , employees and other parties
•Distribution of guidance on information security policies and standard to all manager employees and other parties
توزیع و سازماندهی مناسبی از راهنمایی هایی مورد نیاز پیاده سازی سیستم برای تمام الیه های مختلف مدیریت و
کارکنان داشته باشیم•Provision to fund information security management activities •Providing appropriate awareness , training and education •Establishing an effectiveinformation security incident management process •Implementation of measurement system that is used to evaluate performance in information security management and feed back sugestion for improvement .
High
low
Prob
abili
ty
consequence
Medium risk
Medium risk Low risk
High risk
High
Input process Input
feedback
System schematic
System schematic
Interested parties
Managed information
security
Interested parties
Information security
requirement and
expectation
Establish ISMS
(4.2.1)a
Implement andOperate isms
(4.2.2)a
Monitor and Review isms
(4.2.3)a
Maintain andImprove isms
4.2.4a
input output
Information security management system
isms schematic
Calculate probabilityمحاسبه وقوع
پذیری
Selected control
انتخاب کنترل مناسب
Predict next
proabilityپیش بینی
وقوع پذیری آینده
Implement control
Evidences gathering
بررسی شواهد
Compareمقایسه با
پیش بین اول ومشخص نمودن
اثربخشی
Effectiveness off control