مدیریت حفاظت اطلاعات ایزو

4-1-1-1    سند سیاست حفاظت اطلاعات
سندی است محتوی سیاست حفاظت اطلاعات، که بایستی به وسیلة مدیران تأیید و به نحو مناسب در دسترس کلیة همکاران سازمان قرار گیرد ایزو
4-1-1-2    مرور و ارزیابی
سیاست حفاظت اطلاعات، باید به‏طور منظم و باتوجه به تغییرات احتمالی و به منظور اطمینان از مؤثر بودن آن، بازنگری شود ایزو
4-2     سازمان‏ حفاظت
4-2-1     زیرساخت حفاظت اطلاعات
4-2-1-1    گروه مدیریتی حفاظت اطلاعات
به منظور اطمینان از توجه روشن و حمایت شفاف مدیران از اصول حفاظت، باید یک گروه مدیریتی تشکیل گردد ایزو
4-2-1-2    هماهنگی حفاظت اطلاعات
به منظور هماهنگی در پیاده‏سازی کنترل‏های حفاظت اطلاعات، متناسب با اندازة سازمان باید یک گروه عملیاتی  از مدیران بخش‏های مختلف سازمان، وجود داشته باشد ایزو
4-2-1-3    تعیین مسئولیت‏های حفاظت اطلاعات
به منظور صیانت از دارایی‏های شخصی و اجرای دقیق فرایند حفاظتی باید، مسئولیت‏ها به طور واضح تعریف شود ایزو
4-2-1-4    فرایند مجازسازی برای امکان پردازش اطلاعات
برای امکانات جدید پردازش اطلاعات، باید یک فرایند مدیریت مجازسازی ایجاد گردد ایزو
4-2-1-5    مشورت با نیروهای متخصص حفاظت اطلاعات
به منظور مؤثر کردن روش‏های حفاظتی، آگاهی از نظرات نیروهای داخلی یا مشاورین مرتبط با سازمان الزامی است ایزو
 
4-2-1-6    همکاری بین سازمان‏ها
در سازمان حفاظت، ارتباط‏های مناسب با اشخاص و مؤسسات حقوقی، تأمین‏کنندگان خدمات اطلاعاتی  و اپراتورهای مخابرات راه دور بایستی در نظر گرفته شود ایزو
4-2-1-7    مرور مستقل حفاظت اطلاعات
نحوه پیاده‏سازی‏ سیاست حفاظت اطلاعات، باید بطور جداگانه دیده شده باشد ایزو
4-2-2     حفاظت از دستیابی شخص ثالث
4-2-2-1    شناسایی مخاطرات ناشی از دسترسی شخص ثالث
مخاطراتی که به وسیله دسترسی شخص ثالث (حقوقی و حقیقی) به امکانات پردازش اطلاعات سازمان وجود دارد، باید ارزیابی شده و کنترل‏های حفاظتی مناسب، در آن موارد پیاده شوند ایزو
4-2-2-2    پیش‏بینی الزامات حفاظتی در قراردادهای شخص ثالث
دسترسی شخص ثالث به امکانات پردازش اطلاعات سازمان بایستی بر اساس قراردادی رسمی حاوی کلیه الزامات حفاظتی لازم باشد ایزو
4-2-3     واگذاری فعالیت به بیرون سازمان
4-2-3-1    الزامات حفاظتی در قراردادهای واگذاری فعالیت به بیرون سازمان
هنگامی که تمام یا بخشی از مدیریت و کنترل سیستم‏های اطلاعاتی، شبکه و فعالیت‏های دفتری سازمان به سازمان دیگری واگذار می‏شود، الزامات حفاظتی، باید در قرارداد بین طرفین در نظر گرفته شده باشد ایزو

4-3    طبقه‏بندی و کنترل دارایی‏ها
4-3-1    قابلیت حسابرسی دارایی‏ها
4-3-1-1    ایجاد فهرستی از دارایی‏ها
یک فهرست از همة دارایی‏های مهم، باید تنظیم و نگهداری شود ایزو

4-3-2    طبقه‏بندی اطلاعات
رهنمودهای طبقه‏بندی
طبقه‏بندی‏ها و کنترل‏های حفاظت اطلاعات مربوطه، بایستی متناسب با نیازهای سازمانی جهت به اشتراک گذاشتن و یا محدود‏سازی اطلاعات و تأثیرات سازمانی مرتبط با این نیازها باشند ایزو
4-3-2-2    جابجایی و علامت‏گذاری اطلاعات
برای جابجایی و علامت‏گذاری اطلاعات، مطابق با رویه‏های طبقه‏بندی سازمان، باید مجموعه‏ای از روال‏ها تعریف شوند ایزو

4-4- حفاظت کارکنان
4-4-1    حفاظت در شرح شغل و کاریابی
    لحاظ نمودن مسائل حفاظتی در مسئولیت‏های شغلی
نقش‏ها و مسئولیت‏های حفاظتی، باید در سیاست حفاظت اطلاعات سازمان در نظر گرفته شود و به صورت مناسب و مستند در شرح شغل درج گردد ایزو
4-4-1-2    گزینش کارکنان
در مورد کارکنان دائم، باید در زمان درخواست کار کنترل‏ها و تأییدهای لازم صورت گیرد ایزو
4-4-1-3    توافق‏نامة محرمانه بودن اطلاعات سازمانی
کارکنان، باید توافق‏نامة محرمانه بودن اطلاعات سازمانی را به عنوان بخشی از شرایط قراردادی خود، در هنگام استخدام امضاء نمایند ایزو
4-4-1-4    ضوابط استخدامی
ضوابط استخدامی بایستی حاوی مسئولیت‏های کارکنان در زمینه حفاظت اطلاعات باشد ایزو
4-4-2    آموزش کاربر
4-4-2-1     آموزش دانش حفاظت اطلاعات
همة کارکنان سازمان و در مواقع لزوم اشخاص ثالث، باید به  نحوی مناسب و منظم در مورد روال‏ها و سیاست‏های حفاظتی سازمان  آموزش ببینند ایزو
4-4-3    پاسخ به حوادث و اشتباهات مربوط به حفاظت
4-4-3-1    گزارش حوادث حفاظتی
حوادث حفاظتی پس از کشف، باید در کوتاه‏ترین زمان ممکن از طریق مجاری مدیریتی مناسب گزارش شوند ایزو
4-4-3-2    گزارش ضعف‏های حفاظتی
کاربران خدمات اطلاعاتی، ضروری است هرگونه ضعف و تهدید حفاظتی روی خدمات و سیستم‏ها را یادداشت و گزارش نمایند ایزو
4-4-3-3    گزارش اشتباهات نرم‏افزاری
روال‏هایی به منظور پیگیری گزارش‏های اشتباهات نرم‏افزاری، باید ایجاد شوند ایزو
4-4-3-4     یادگیری از حوادث
برای اینکه، نوع، اندازه و هزینه اشتباهات و حوادث قابل اندازه‏گیری و نمایش شوند باید مکانیزم‏هایی ایجاد شوند ایزو  
4-4-3-5    فرایند انضباطی
یک فرایند انضباطی رسمی برای تخلف از سیاست‏های حفاظتی سازمان و روال‏هایی که کارکنان لازم است رعایت نمایند، باید ایجاد گردد ایزو
4-5    حفاظت فیزیکی و محیطی
4-5-1    محیط‏های ایمن
4-5-1-1    میدان حفاظت فیزیکی
سازمان‏ها، باید از میدان‏های حفاظتی، برای حفاظت از محل‏های نگهداری تجهیزات پردازش اطلاعات استفاده کنند ایزو
4-5-1-2    کنترل‏های ورودی فیزیکی
محل‏های ایمن، باید بوسیله کنترل‏های ورودی مناسب محافظت شوند تا اطمینان حاصل شود فقط افراد مجاز می‏توانند دسترسی داشته باشند ایزو
4-5-1-3    ایمن‏سازی دفاتر، اتاقها و امکانات
به منظور حفاظت از دفاتر، اتاق‏ها و امکانات با نیازهای حفاظتی خاص، باید محل‏های ایمن ایجاد گردند ایزو
4-5-1-4    کار در محل‏های ایمن
برای کار در محل‏های ایمن، باید کنترل‏های اضافی و رهنمودهای تکمیلی مورد استفاده قرار گیرد تا از ایمن بودن این محل‏ها اطمینان لازم حاصل شود ایزو
4-5-1-5    مجزاسازی محل‏های انتقال و بارگیری اطلاعات
محل‏های انتقال و بارگیری اطلاعات، باید کنترل شود و درصورت امکان مجزا از محل تجهیزات پردازش اطلاعات باشد، ‌تا از دستیابی‏های غیرمجاز جلوگیری شود ایزو

4-5-2    حفاظت تجهیزات
4-5-2-1    استقرار و حفاظت تجهیزات
تجهیزات، باید در محل مناسب و محافظت شده‏ای قرار داشته باشند ایزو تا مخاطرات و تهدید‏های محیطی و امکان دسترسی غیرمجاز کاهش یابد ایزو
4-5-2-2    منابع تغذیه
تجهیزات، باید از هرگونه صدمات ناشی از قطع یا خرابی منابع تغذیه محافظت شوند ایزو
4-5-2-3    حفاظت کابل‏کشی
به منظور جلوگیری از هرگونه خسارت یا قطع شدن، باید کابل‏کشی‏های برق، داده‏ها و تلفن مورد استفاده در خدمات اطلاعاتی، محافظت شوند ایزو
4-5-2-4    نگهداری تجهیزات
تجهیزات، جهت اطمینان از تداوم فعالیت و یکپارچگی، متناسب با دستورالعمل‏های سازنده یا روال‏های مستند شده، باید نگهداری شوند ایزو
4-5-2-5    حفاظت از تجهیزات در هنگام استفاده بیرونی
به منظور حفاظت از تجهیزات در هنگام استفاده در بیرون سازمان، باید روال‏های حفاظتی ایجاد شوند ایزو
4-5-2-6    دور ریختن یا استفاده مجدد از تجهیزات به صورت مطمئن
قبل از دور ریختن یا استفادة مجدد از تجهیزات، اطلاعات باید از روی آنها پاک شود ایزو
4-5-3    کنترل‏های عمومی
4-5-3-1    سیاست میز و صفحه پاک
به منظور کاهش مخاطرات ناشی از دسترسی غیرمجاز و فقدان یا صدمه به اطلاعات، سازمان‏ها بایستی سیاست میز پاک و صفحه پاک را اختیار و اجرا کنند ایزو
4-5-3-2    جابجایی اموال
تجهیزات، اطلاعات یا نرم‏افزار متعلق به سازمان، نباید بدون اجازه جابجا شود ایزو

4-6    مدیریت ارتباطات  و عملیات
4-6-1    روال‏های عملیاتی و مسئولیت‏ها
4-6-1-1    روال‏های عملیاتی مستند شده
روال‏های عملیاتی شناسایی شده در سیاست حفاظت (4-1-1-1) باید مستند و نگهداری شوند ایزو
4-6-1-2    کنترل تغییر عملیاتی
تغییرات در تجهیزات و سیستم‏های پردازش اطلاعات، باید کنترل شده باشند ایزو
4-6-1-3    روال‏های مدیریت حادثه
به منظور اطمینان از پاسخ سریع، مؤثر و مناسب به حوادث، باید روال‏ها و مسئولیت‏‏های مدیریت حادثه برقرار گردند ایزو
4-6-1-4    تفکیک وظایف
به منظور کاهش فرصت‏های تغییرات غیرمجاز و استفادة نابجا از اطلاعات و خدمات، وظایف و محدودة مسئولیت‏‏ها باید تفکیک گردند ایزو
4-6-1-5    جداسازی امکانات توسعه و عملیاتی
امکانات آزمایش و توسعه باید از امکانات عملیاتی مجزا شوند ایزو
4-6-1-6    مدیریت امکانات خارج سازمانی
قبل از استفاده از خدمات قابل ارائه توسط مدیریت امکانات خارج از سازمان، باید مخاطرات دقیقاً شناسایی و روش‏های کنترلی مناسب که مورد توافق طرف قرارداد و سازمان باشد، در قرارداد گنجانده شوند ایزو

4-6-2    برنامه‏ریزی و پذیرش سیستم  
4-6-2-1    برنامه‏ریزی ظرفیت
برنامه‏ریزی لازم برای توان پردازش و ظرفیت ذخیره‏سازی اطلاعات در دسترس، باید با در نظر گرفتن تقاضاهای فعلی و آتی سیستم صورت پذیرد ایزو
4-6-2-2    پذیرش سیستم
معیار پذیرش سیستم‏های اطلاعاتی جدید و نسخه‏های جدید و به روز شده سیستم‏ها، باید مستند شده و قبل از پذیرش و جایگزینی سیستم قبلی، آزمایش‏های کافی صورت گیرد ایزو
4-6-3    حفاظت در برابر نرم‏افزار مخرب
-6-3-1    کنترل‏ها در برابر نرم‏افزار مخرب
روال‏های کنترلی، برای شناسایی، مقابله با نرم‏افزار مخرب و آگاهی کاربران از آنها باید پیاده شوند ایزو
4-6-4    اداره کردن
4
4-6-4-1    ایجاد پشتیبان اطلاعات
از اطلاعات مهم و اساسی و نرم‏افزارها، باید به طور منظم نسخه‏های پشتیبان تهیه گردد ایزو
4-6-4-2    ثبت‏های مجری
کارکنان عملیاتی، باید فعالیت‏های خود را ثبت نمایند ایزو
4-6-4-3    ثبت خرابی
خرابی‏ها باید گزارش شده و عملیات تصحیح آنها، انجام شوند ایزو
4-6-5    مدیریت شبکه
4-6-5-1    کنترل‏های شبکه
به منظور دستیابی به امنیت شبکه و حفظ آن باید مجموعه‏ای از کنترل‏ها اعمال گردد ایزو
4-6-6    جابجایی محیط ذخیره و حفاظت
4-6-6-1    مدیریت محیط‏های رایانه‏ای قابل جابجایی
مدیریت محیط‏های رایانه‏ای قابل جابجایی نظیر نوار، دیسک، کاست و گزارش‏های چاپ شده، باید کنترل شده باشد ایزو
4-6-6-2    دور انداختن محیط‏های ذخیره
محیط‏های ذخیره‏ای که دیگر مورد نیاز نیستند، باید بصورت امن و محافظت‏شده دور ریخته شوند ایزو
4-6-6-3    روال‏های جابجایی اطلاعات
به منظور حفاظت اطلاعات در مقابل استفاده نابجا و غیرمجاز باید، روال‏هایی جهت جابجایی و انبار کردن (محیط‏های ذخیره) اطلاعات ایجاد شود ایزو
4-6-6-4    حفاظت از مستندات سیستم
مستندات سیستم، باید از دسترسی غیرمجاز محافظت گردند ایزو
4-6-7    تبادل اطلاعات و نرم‏افزار
4-6-7-1    توافق‏نامه‏های تبادل اطلاعات و نرم‏افزار
چه برای تبادل دستی و چه برای تبادل الکترونیکی اطلاعات و نرم‏افزار بین سازمان‏ها، باید توافق‏نامه‏هایی که می‏توانند رسمی باشند، تهیه گردند ایزو
4-6-7-2    حفاظت محیط‏های ذخیره در حال حمل و نقل
محیط‏ ذخیره‏ای که جابه‏جا می‏شود باید از دسترسی غیرمجاز، صدمه یا استفادة نابجا حفاظت گردد ایزو
4-6-7-3    حفاظت تجارت الکترونیکی
تجارت الکترونیکی، باید در مقابل فعالیت‏های غیرقانونی، آشکارسازی یا تغییر در اطلاعات آن، محافظت شود ایزو
4-6-7-4    حفاظت از پست الکترونیکی
برای استفاده از پست الکترونیکی، باید سیاست ویژه‏ای تدوین گردد و کنترل‏های لازم برای کاهش مخاطرات حفاظتی آن صورت گیرد ایزو
صحت و تناسب داده ورودی سیستم‏های کاربردی، باید تأیید شوند ایزو
4-8-2-2    کنترل حین پردازش
برای تأیید و قابل قبول بودن داده‏های پردازش شده، باید کنترل‏هایی در سیستم‏ها تعبیه شود تا انحراف تشخیص داده شود ایزو
4-8-2-3    تصدیق اصالت پیام
برای برنامه‏های کاربردی که نیاز به حفاظت از یکپارچگی محتویات پیام دارند، باید تصدیق اصالت پیام صورت گیرد ایزو
4-8-2-4    تأیید داده‏های خروجی
برای اطمینان از اینکه پردازش اطلاعات ذخیره شده، صحیح و متناسب با شرایط بوده، باید خروجی سیستم‏های کاربردی مورد تأیید قرار گیرند ایزو

4-8-3  کنترل‏های رمزنگاری
4-8-3-1    سیاست استفاده از کنترل‏های رمزنگاری
برای حفاظت اطلاعات، باید سیاستی در جهت استفاده از کنترل‏های رمزنگاری، تدوین و از آن پیروی گردد ایزو
4-8-3-2     رمزگذاری
برای حفاظت از اطلاعات حساس و مهم، باید رمزگذاری صورت گیرد ایزو
4-8-3-3    امضاء رقومی
به منظور حفاظت از تصدیق اصالت، مجازسازی و یکپارچگی اطلاعات الکترونیکی، باید امضاءهای رقومی به کار برده شوند ایزو
4-8-3-4    خدمات غیرقابل انکار  
به منظور حل اختلافات در مورد وقوع یا عدم وقوع یک رویداد یا عمل، باید خدمات غیرقابل انکار مورد استفاده قرار گیرند ایزو
به منظور نظارت بر استفاده از امکانات پردازش اطلاعات باید روال‏هایی ایجاد شود و نتیجه‏های آن، به صورت منظم مرور شود ایزو
4-7-7-3    همزمانی ساعت
ساعت رایانه‏ها، باید به منظور ثبت دقیق وقایع همزمان باشند ایزو

4-7-8    محاسبه سیار و کار از راه دور
4-7-8-1    پردازش سیار
کنترل‏های مربوطه، برای مقابله با مخاطرات کار با امکانات محاسبه سیار، به ویژه در محیط‏های غیر حفاظت شده، بایستی پذیرفته شوند و یک سیاست رسمی تدوین شود ایزو
4-7-8-2    کار از راه دور
به منظور کنترل و مجازسازی در فعالیت‏های راه‏دور، باید سیاست‏ها و روال‏هایی تدوین و اجرا گردند ایزو

4-8    توسعه و نگهداری سیستم‏ها
4-8-1    الزامات حفاظتی سیستم‏ها
4-8-1-1    تحلیل و تعیین الزامات حفاظتی
الزامات سازمان به سیستم‏های جدید یا گسترش سیستم‏های موجود، باید حاوی الزامات کنترلی باشد ایزو
4-8-2- حفاظت در سیستم‏های کاربردی
4-8-2-1- تأیید داده ورودی  
4-7-7-1    ثبت وقایع
وقایع به ویژه استثنایی، باید برای یک مدت مورد توافق، ثبت و نگهداری شوند تا در رسیدگی‏های آتی جهت نظارت بر کنترل دسترسی استفاده شوند ایزو
4-7-7-2    نظارت بر استفاده از سیستم
4-7-6-1    محدودیت دسترسی به اطلاعات
دسترسی به اطلاعات و سیستم کاربردی، باید بر اساس با سیاست تعریف شده کنترل دسترسی
(4-7-1-1)،  محدود شود ایزو
4-7-6-2    مجزا سازی سیستم‏های حساس
سیستم‏های حساس، باید یک محیط اختصاصی و مجزای محاسباتی داشته باشند ایزو
4-7-7    نظارت بر دسترسی و استفاده سیستم
استفاده از برنامه‏های کمکی سیستم، باید به دقت کنترل و محدود شده باشد ایزو
4-7-5-6    هشدار اضطرار برای ایمن کردن کاربران
برای کاربرانی که ممکن است تحت فشار قرار گیرند، باید، هشدارهای لازم تهیه شود ایزو
4-7-5-7    خروج زمانی پایانه  
به منظور جلوگیری از دسترسی افراد غیرمجاز، ارتباط پایانه‏هایی که در محل‏های با مخاطره بالا هستند، یا سیستم‏های پر مخاطره توسط آنها اجرا می‏شود چنانچه در یک بازه زمانی تعریف شده غیر فعال باشند، باید به‏صورت خودکار قطع شود ایزو
4-7-5-8    محدودیت زمان اتصال
به منظور اعمال حفاظت اضافی در استفاده از کاربردهای پر مخاطره، باید محدودیت‏هایی در زمان اتصال در نظر گرفته شود ایزو

4-7-6    کنترل دسترسی به برنامه‏های کاربردی
4-7-5-1    شناسایی خودکار پایانه
به منظور تصدیق اصالت اتصالات در محل‏های معین و تجهیزات قابل حمل باید، شناسایی خودکار پایانه صورت گیرد ایزو
4-7-5-2    روال‏های ورود پایانه
دسترسی به خدمات اطلاعاتی، باید با استفاده از یک فرایند ورود (آغاز به کار) امن صورت گیرد ایزو
4-7-5-3    شناسایی و تصدیق اصالت کاربر
همه کاربران برای فعالیت‏هایشان، باید دارای یک شناسه منحصر به فرد (شناسه کاربر) باشند، که مخصوص خودشان باشد و از طریق آن بتوان افراد مسئول را ردیابی کرد ایزو
4-7-5-4    سیستم مدیریت کلمة عبور
یک سیستم مدیریت کلمة عبور که بتواند به طور مؤثر و متعامل از کیفیت کلمة عبور اطمینان حاصل نماید، باید به وجود بیاید ایزو
4-7-5-5    استفاده از برنامه‏های کمکی سیستم  
4-7-4-7    کنترل اتصال شبکه
ظرفیت اتصال کاربران در شبکه‏های اشتراکی، بر اساس سیاست کنترل دسترسی (4-7-1-1)، باید محدود شود ایزو
4-7-4-8    کنترل مسیریابی شبکه
شبکه‏های مشترک باید دارای کنترل مسیریابی باشند تا اطمینان حاصل شود که ارتباط رایانه‏ها و جریان اطلاعات در آنها، سیاست کنترل دسترسی به سیستم‏های کاربردی برای سازمان را که در
4-7-1-1 تعیین شده است، نقض نمی‏نماید ایزو
4-7-4-9    حفاظت از خدمات شبکه
یک توصیف شفاف از خواص حفاظتی همة خدمات شبکة مورد استفاده توسط سازمان، باید تهیه شود ایزو
4-7-5    کنترل دسترسی به سیستم عامل
اختصاص کلمات عبور به کاربران، باید کنترل شده و بر اساس یک فرایند مدیریت رسمی صورت گیرد ایزو
4-7-2-4    بازنگری حق دسترسی کاربر
یک فرایند رسمی به طور منظم و در فواصل زمانی مناسب، باید حق دسترسی کاربران را مرور ودر صورت لزوم بازنگری نماید ایزو
4-7-3    مسئولیت‏‏های کاربر
4-7-3-1    استفادة کلمة عبور
کاربران، باید در انتخاب و استفاده از کلمة عبور نهایت دقت را بنمایند ایزو
4-7-3-2    تجهیزات بدون مسئول مستقیم
کاربران، باید از حفاظت تجهیزات بدون مسئول مستقیم اطمینان داشته باشند ایزو
4-7-4    کنترل دسترسی شبکه
4-7-4-1    سیاست استفاده از خدمات شبکه
کاربران، باید فقط بطور مستقیم به خدماتی که برای آنها مجاز است، دسترسی داشته باشند ایزو
4-7-4-2    مسیر تأکید شده
مسیر پایانه کاربر تا رایانه سرویس‏دهنده، باید کنترل شده باشد ایزو
4-7-4-3    تصدیق اصالت کاربر برای ارتباطات از بیرون
دسترسی برای کاربران راه‏دور، باید بخشی از روال شناسایی و تصدیق اصالت باشد ایزو
4-7-4-4    تصدیق اصالت گره
اتصال به سیستم‏های رایانه‏ای راه‏دور، باید تصدیق اصالت شده باشند ایزو
4-7-4-5    حفاظت از پورت‏های عیب‏یابی از راه‏دور
دسترسی به پورت‏هایی که برای عیب‏یابی از راه‏دور استفاده می‏شوند، باید کنترل شده باشد ایزو
4-7-4-6    جداسازی در شبکه‏ها
در شبکه‏ها، کنترل‏هایی برای گروه‏های مختلف خدمات اطلاعاتی، کاربران و سیستمهای اطلاعاتی باید تعریف شوند ایزو
4-7-2-1    ثبت نام کاربر
برای ثبت نام و حذف کاربران، به منظور دسترسی به همة سیستم‏های اطلاعاتی چند کاربره و سرویس‏های آنها، باید روال‏هایی رسمی وجود داشته باشد ایزو
4-7-2-2    مدیریت اختیارات ویژه
اختصاص و استفاده از اختیارات ویژه باید محدود و کنترل شده باشد ایزو
4-7-2-3    مدیریت کلمة عبور کاربر
4-7-1-1    سیاست کنترل دسترسی
الزامات سازمانی برای کنترل دسترسی، باید به خوبی تعریف و مستند شوند و دسترسی، باید به آنچه که سیاست کنترل و دسترسی تعریف کرده است، محدود شود ایزو
4-7-2    مدیریت دسترسی کاربر
4-6-7-5    حفاظت سیستم‏های دفتری الکترونیکی
برای حفاظت از سیستم‏های دفتری الکترونیکی و کنترل مخاطرات همراه با سیستم‏های الکترونیکی، باید سیاست‏ها و رهنمودهای معینی پیاده شوند ایزو
4-6-7-6    سیستم‏های در دسترس عموم
قبل از اینکه اطلاعات به طور عمومی در دسترس قرار بگیرند باید، یک فرآیند رسمی برای مجازسازی وجود داشته باشد و حفاظت‏های مربوط برای یکپارچگی و تغییر نکردن اطلاعات آن صورت بگیرد ایزو
4-6-7-7    شکل‏های دیگر مبادله اطلاعات
به منظور حفاظت تبادل اطلاعات در هنگام بکارگیری صوت، فاکس و امکانات ارتباطی ویدئویی باید، رویه‏ها و کنترل‏هایی تعبیه گردد ایزو

4-7    کنترل دسترسی
4-7-1    الزامات سازمانی برای کنترل دسترسی
4-10-3-1    کنترل‏های ممیزی سیستم
ممیزی‏های سیستم‏های عملیاتی، باید بر اساس برنامه و توافق‏های انجام شده برای کاهش وقفه در فعالیت‏های سازمان، صورت بگیرد ایزو
4-10-3-2    حفاظت از ابزارهای ممیزی سیستم
به منظور استفاده نادرست یا مصالحه، دسترسی به ابزارهای ممیزی سیستم، باید کنترل شوند ایزو
4-10-2-1    سازگاری با سیاست حفاظت
مدیران باید اطمینان کسب کنند که روال‏های حفاظتی متناسب با مسئولیت‏ها، به درستی اجرا می‏شوند و بازنگری‏های لازم بر طبق سیاست و استانداردها، به طور مداوم صورت می‏گیرد ایزو
4-10-2-2    کنترل سازگاری فنی
برای سازگاری با استانداردهای پیاده‏سازی حفاظت باید سیستم‏های اطلاعاتی به طور منظم، کنترل شوند ایزو
4-10-3    ملاحظات ممیزی  سیستم
4-10-2    مرور سیاست حفاظتی و سازگاری فنی

4-10    سازگاری
4-10-1    سازگاری با الزامات قانونی
4-10-1-1    شناسایی قوانین مرتبط
همة الزامات قانونی و قراردادی مرتبط، برای هر سیستم اطلاعاتی، باید به طور شفاف تعریف و مستند شده باشد ایزو
4-10-1-2    حقوق دارائی‏های فکری
برای اطمینان از سازگاری با محدودیت‏های قانونی حقوق دارایی‏های فکری و استفادة صحیح از محصولات نرم‏افزاری، باید روال‏های مناسب پیاده شوند ایزو
4-10-1-3    حفاظت از مدارک و سوابق سازمانی
مدارک و سوابق مهم سازمان باید از گم شدن، خرابی یا استفاده نادرست حفاظت شوند ایزو
4-10-1-4    حفاظت داده و محرمانه بودن اطلاعات کارکنان
به منظور حفاظت از اطلاعات شخصی مطابق با قوانین و مقررات مربوطه، باید کنترل‏هایی صورت گیرد ایزو
4-10-1-5    جلوگیری از استفاده نادرست از امکانات پردازش اطلاعات
استفاده از امکانات پردازش اطلاعات بایستی با اجازه مدیر باشد و کنترل‏های لازم  برای جلوگیری از استفاده نادرست از این امکانات باید صورت گیرد ایزو
4-10-1-6    مقررات حاکم بر رمزنگاری
برای اطمینان از سازگاری با قوانین رمزنگاری ملی و دیگر قوانین و مقررات، باید کنترل‏های لازم صورت گیرد ایزو
4-10-1-7    جمع‏آوری مدرک
به منظور ارائه به مراجع ذیصلاح در محاکم دعاوی سازمان، باید مدرک لازم  در تمام زمینه‏ها براساس استانداردها جمع‏آوری و نگهداری شده باشد ایزو
4-9-1-1    فرایند مدیریت تداوم فعالیت
برای توسعه و نگهداری تداوم فعالیت در سازمان، باید یک فرایند مدیریت شده وجود داشته باشد ایزو
4-9-1-2    تداوم فعالیت و تحلیل موانع
به منظور تداوم فعالیت، باید یک برنامة راهبردی متناسب با برآورد مخاطره، مناسب برای کلیة فعالیت‏ها ایجاد شود ایزو
4-9-1-3    تدوین و پیاده‏سازی طرح‏های لازم جهت حفظ تداوم در روال کارها
به منظور نگهداری یا ازسرگیری فعالیت‏های کاری عادی سازمان در یک زمان مطلوب، پس از بروز وقفه و یا خرابی در کارهای بحرانی باید طرح‏هایی تدوین گردد ایزو
4-9-1-4    چارچوب طراحی تداوم فعالیت
یک چارچوب واحد از طرح‏های تداوم فعالیت باید ایجاد و نگهداری شود تا اطمینان حاصل گردد همة طرح‏ها فراگیر بوده و حاوی اولویت‏های آزمایش و نگهداری هستند ایزو
4-9-1-5    آزمایش، نگهداری و ارزیابی دوباره طرح‏های تداوم فعالیت
طرح‏های تداوم فعالیت، باید به طور منظم آزمایش و نگهداری شوند، به طوری که همواره اطمینان از به روز بودن و مؤثر بودن آنها وجود داشته باشد ایزو
خرید، استفاده و اصلاح نرم‏افزارها، باید در مقابل هرگونه احتمال وجود کانال‏های مخفی و کد تروا کنترل شوند ایزو
4-8-5-5    توسعه نرم‏افزار توسط شخص ثالث
برای اطمینان از توسعه نرم‏افزار توسط شخص ثالث، باید کنترل‏هایی صورت گیرد ایزو

4-9    مدیریت تداوم فعالیت
4-9-1    جنبه‏های مدیریت تداوم فعالیت
4-8-5-1    روال‏های کنترل تغییر
پیاده‏سازی تغییرات، باید دقیقاً بوسیله استفاده از روال‏های رسمی کنترل تغییر، کنترل شوند تا میزان اتفاقات ناخواسته سیستم‏های اطلاعاتی کمینه گردد ایزو
4-8-5-2    مرور فنی تغییرات سیستم عامل
در هنگام وقوع تغییرات، باید سیستم‏های کاربردی مرور و آزمایش شوند ایزو
4-8-5-3    محدودیت‏هایی روی تغییرات در بسته‏های نرم‏افزاری
از اصلاحات روی بسته‏های نرم‏افزاری، باید اجتناب شده و تغییرات اساسی باید شدیداً کنترل شوند ایزو
4-8-5-4    کانال‏های مخفی و کد تروا
4-8-4-1    کنترل نرم‏افزار عملیاتی
در بکارگیری نرم‏افزار، در سیستم‏های عملیاتی، باید کنترل صورت گیرد ایزو
4-8-4-2    حفاظت از داده‏های آزمایش سیستم
داده‏های آزمایش سیستم، باید کنترل و محافظت شوند ایزو
4-8-4-3    کنترل دسترسی به کتابخانه منبع برنامه‏ها
برای دسترسی به کتابخانه منبع برنامه‏ها، باید کنترل شدیدی صورت گیرد ایزو
4-8-5    حفاظت در فرایندهای توسعه و پشتیبانی
4-8-3-5    مدیریت کلید
به منظور پشتیبانی از روش‏های رمزنگاری، باید یک سیستم مدیریت کلید، بر طبق  مجموعه استانداردها،  روال‏ها و روش‏های مورد توافق، پیاده شود ایزو
4-8-4    حفاظت از پرونده‏های سیستم