آکادمی امنیت سایبری و تست نفوذ

  • امروز 01، مهر 1398 می‌باشد.
  • 989901416229+

استانداردهای خانواده ISMS

ارسال شده توسط : MrPenTester


ارسال شده در تاریخ : 28، فروردین 1398 - 13:19:47


تصویر پیدا نشد

خانواده سیستم مدیریت امنیت اطلاعات (ISMS) متشکل از استانداردهای مرتبط به هم می باشد که بعضی از آن ها درحال تدوین هستند و در آینده منتشر میشود،این استانداردها دارای تعداد زیادی مولفه ساختاری میباشند که بر استانداردهای اصلی تمرکز دارند در اینجا به برخی از این استانداردها اشاره میکنیم.

 

استاندارد ISO/IEC 27000

این استاندارد در فناوری اطلاعات،سیستم مدیریت امنیت اطلاعات،فنون امنیتی و مرور کلی این استاندارد طبقه بندی شده است و در این استاندارد به افراد و سازمان ها در زمینه های

  • مقدمه ای بر سیستم مدیریت امنیت اطلاعات
  • شرح مختصر فرآیند یا چرخه دمینگ یا PDCA (چرخه مدیریت تغییرات و بهبود کسب و کار)
  • آشنایی با اصطلاحات و تعاریف استفاده شده در استانداردهای خانواده ISMS
  • بررسی خلاصه استانداردهای خانواده ISMS

کمک میکنند،هدف اصلی این استاندارد توصیف و تعریف مبانی و مباحث ISMS و اصطلاحات به کار رفته در آن است.

 

استاندارد ISO/IEC 27001

این استاندارد در فناوری اطلاعات،سیستم مدیریت امنیت اطلاعات،فنون امنیتی و الزامات طبقه بندی شده است و در این استاندارد الزامات ایجاد،طراحی،راه اندازی،نگهداری،نظارت،بررسی و بهبود سیستم مدیریت امنیت اطلاعات (ISMS)را در زمینه خطرات کلی کسب و کارهای سازمانی تعیین میکنند،که تمام سازمان های دولتی و خصوصی را در بر میگیرد،هدف آن این است تا الزامات اصلی توسعه و راه اندازی و پیاده سازی سیستم مدیریت امنیت اطلاعات را ارائه نماید که شامل مجموعه ای از کنترل ها برای کاهش و دفع خطرات و تهدیدات مربوط به دارایی اطلاعاتی در سازمان میباشد که از طریق اجرا کردن آن از اطلاعات محافظ نماید.

 

استاندارد ISO/IEC 27002

این استاندارد در فناوری اطلاعات،دستور العمل مدیریت امنیت اطلاعات،فنون امنیتی  طبقه بندی شده است و در این استاندارد لیستی از اهداف کنترلی پذیرفته شده و بهترین شیوه های کنترلی فراهم شده تا جهت راهنمایی در زمان انتخاب و پیاده سازی کنترل ها برای دست یابی به امنیت اطلاعات مورد استفاده قرار گیرند،هدف آن این است تا راهنمایی برای پیاده سازی کنترل های امنیت اطلاعات فراهم کنند.

 

استاندارد ISO/IEC 27003

این استاندارد در فناوری اطلاعات،راهنمای پیاده سازی ISMS،فنون امنیتی  طبقه بندی شده است و در این استاندارد راهنمای پیاده سازی عملی و همچنین اطلاعات دیگر را نیز برای برقراری،پیاده سازی،راه اندازی،بررسی،نظارت،نگهداری و بهبود ISMS طبق استاندارد ISO/IEC 27001 ارائه میکنند،هدف آن این است تا اجرای پیاده سازی ISMS بصورت مناسب و کامل طبق استاندارد ISO/IEC 27001 صورت گیرد.

 

استاندارد ISO/IEC 27004

این استاندارد در فناوری اطلاعات،مدیریت امنیت اطلاعات،فنون امنیتی،سنجش  طبقه بندی شده است و در این استاندارد راهنمای  و مشاوره برای توسعه و نحوه سنجش را به منظور ارزیابی ISMS،اهداف کنترل و کنترل های استفاده شده برای پیاده سازی و مدیریت امنیت اطلاعات طبق استاندارد ISO/IEC 27001 ارائه میکنند،هدف آن این است تا با ارائه چارچوب مشخصی برای سنجش که امکان ارزیابی ISMS را برای تاثیر گذاری بر روی سازمان انجام شده است طبق استاندارد ISO/IEC 27001 صورت گیرد.

 

استاندارد ISO/IEC 27005

این استاندارد در فناوری اطلاعات،مدیریت ریسک امنیت اطلاعات،فنون امنیتی طبقه بندی شده است و در این استاندارد راهنمایی های را جهت مدیریت ریسک امنیت اطلاعات طبق استاندارد ISO/IEC 27001 ارائه میکنند،هدف آن این است تا با ارائه راهنمایی های مفید و مناسب جهت پیاده سازی رضایت بخش یک مدیریت ریسک کاملا فرآیند گرا و ایجاد کردن الزامات مدیریت ریسک امنیت اطلاعات را طبق استاندارد ISO/IEC 27001 صورت دهند.

 

استاندارد ISO/IEC 27006

این استاندارد در فناوری اطلاعات،الزامات نهادهای ارائه خدمات ممیزی و صدور گواهینامه ISMS و فنون امنیتی طبقه بندی شده است و در این استاندارد علاوه بر الزامات موجود در استاندارد ارزیابی انطباق-الزامات نهادهای ارائه خدمات ممیزی و گواهینامه ISMS که به استاندارد ISO/IEC 17021 مشهور است که الزامات دیگری را نیز مشخص نموده و راهنمایی های را برای نهادهای ارائه کنند خدمات ممیزی و صدور گواهینامه ISMS طبق استاندارد ISO/IEC 27001 فراهم میکند و کلا برای پشتیبانی تایید صلاحیت نهادهای که براساس استاندارد 27001 ISO/IEC اقدام به صدور گواهینامه ISMS میکنند می باشد.

 

استاندارد ISO/IEC 27007

این استاندارد در فناوری اطلاعات،راهنمای ممیزی ISMS،فنون امنیتی طبقه بندی شده است و در این استاندارد راهنمایی طریقه انجام دادن ممیزی ISMS و همچنین نحوه احراز صلاحیت بازرسان سیستم مدیریت امنیت اطلاعات و شرایط موجود در استاندارد ISO 19011 میباشد،هدف آن این است تا با ارائه راهنمای هایی برای سازمان ها به انجام بازرسی داخلی و خارجی ISMS بپردازند و ممیزی ISMS را جهت اجرای الزامات مشخص شده طبق استاندارد ISO/IEC 27001 مدیریت کنند.

 

استاندارد ISO/IEC 27008

این استاندارد در فناوری اطلاعات،راهنمای بازرسان بر روی کنترل های امنیت اطلاعات،فنون امنیتی طبقه بندی شده است و در این استاندارد گزارش فنی ارائه میگردد که راهنمای نحوه بررسی و پیاده سازی و بهره برداری از کنترل ها ،شامل بررسی انطباق فنی کنترل های سیستم اطلاعات با استانداردهای امنیت اطلاعت سازمان را ارائه میدهند،هدف آن این است تا با ارائه این گزارش فنی  به بررسی کنترل های امنیت اطلاعات باشد و راهنمای خاصی جهت بررسی انطباق در مورد سنجش و ارزیابی ممیزی و ریسک ISMS در استانداردهای ISO/IEC 27004,27005,27007 است یا خیر،این استاندارد برای سیستم های مدیریت ممیزی در نظر گرفته نشده است.

 

نویسنده: حامد مقدسی پور

منبع: آکادمی امنیت سایبری و تست نفوذ

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده غیر اخلاقی می باشد.





کلیه حقوق برای آکادمی امنیت سایبری و تست نفوذ محفوظ بوده و برداشت غیر مجاز پیگرد قانونی دارد. | Copyright © 2019 Iranian AcademySecurity.ir All rights reserved