4-1-1-1 سند سیاست حفاظت اطلاعات
سندی است محتوی سیاست حفاظت اطلاعات، که بایستی به وسیلة مدیران تأیید و به نحو مناسب در دسترس کلیة همکاران سازمان قرار گیرد ایزو
4-1-1-2 مرور و ارزیابی
سیاست حفاظت اطلاعات، باید بهطور منظم و باتوجه به تغییرات احتمالی و به منظور اطمینان از مؤثر بودن آن، بازنگری شود ایزو
4-2 سازمان حفاظت
4-2-1 زیرساخت حفاظت اطلاعات
4-2-1-1 گروه مدیریتی حفاظت اطلاعات
به منظور اطمینان از توجه روشن و حمایت شفاف مدیران از اصول حفاظت، باید یک گروه مدیریتی تشکیل گردد ایزو
4-2-1-2 هماهنگی حفاظت اطلاعات
به
منظور هماهنگی در پیادهسازی کنترلهای حفاظت اطلاعات، متناسب با اندازة
سازمان باید یک گروه عملیاتی از مدیران بخشهای مختلف سازمان، وجود داشته
باشد ایزو
4-2-1-3 تعیین مسئولیتهای حفاظت اطلاعات
به منظور صیانت از داراییهای شخصی و اجرای دقیق فرایند حفاظتی باید، مسئولیتها به طور واضح تعریف شود ایزو
4-2-1-4 فرایند مجازسازی برای امکان پردازش اطلاعات
برای امکانات جدید پردازش اطلاعات، باید یک فرایند مدیریت مجازسازی ایجاد گردد ایزو
4-2-1-5 مشورت با نیروهای متخصص حفاظت اطلاعات
به منظور مؤثر کردن روشهای حفاظتی، آگاهی از نظرات نیروهای داخلی یا مشاورین مرتبط با سازمان الزامی است ایزو
4-2-1-6 همکاری بین سازمانها
در
سازمان حفاظت، ارتباطهای مناسب با اشخاص و مؤسسات حقوقی، تأمینکنندگان
خدمات اطلاعاتی و اپراتورهای مخابرات راه دور بایستی در نظر گرفته شود
ایزو
4-2-1-7 مرور مستقل حفاظت اطلاعات
نحوه پیادهسازی سیاست حفاظت اطلاعات، باید بطور جداگانه دیده شده باشد ایزو
4-2-2 حفاظت از دستیابی شخص ثالث
4-2-2-1 شناسایی مخاطرات ناشی از دسترسی شخص ثالث
مخاطراتی
که به وسیله دسترسی شخص ثالث (حقوقی و حقیقی) به امکانات پردازش اطلاعات
سازمان وجود دارد، باید ارزیابی شده و کنترلهای حفاظتی مناسب، در آن موارد
پیاده شوند ایزو
4-2-2-2 پیشبینی الزامات حفاظتی در قراردادهای شخص ثالث
دسترسی شخص ثالث به امکانات پردازش اطلاعات سازمان بایستی بر اساس قراردادی رسمی حاوی کلیه الزامات حفاظتی لازم باشد ایزو
4-2-3 واگذاری فعالیت به بیرون سازمان
4-2-3-1 الزامات حفاظتی در قراردادهای واگذاری فعالیت به بیرون سازمان
هنگامی
که تمام یا بخشی از مدیریت و کنترل سیستمهای اطلاعاتی، شبکه و فعالیتهای
دفتری سازمان به سازمان دیگری واگذار میشود، الزامات حفاظتی، باید در
قرارداد بین طرفین در نظر گرفته شده باشد ایزو
4-3 طبقهبندی و کنترل داراییها
4-3-1 قابلیت حسابرسی داراییها
4-3-1-1 ایجاد فهرستی از داراییها
یک فهرست از همة داراییهای مهم، باید تنظیم و نگهداری شود ایزو
4-3-2 طبقهبندی اطلاعات
رهنمودهای طبقهبندی
طبقهبندیها
و کنترلهای حفاظت اطلاعات مربوطه، بایستی متناسب با نیازهای سازمانی جهت
به اشتراک گذاشتن و یا محدودسازی اطلاعات و تأثیرات سازمانی مرتبط با این
نیازها باشند ایزو
4-3-2-2 جابجایی و علامتگذاری اطلاعات
برای جابجایی و علامتگذاری اطلاعات، مطابق با رویههای طبقهبندی سازمان، باید مجموعهای از روالها تعریف شوند ایزو
4-4- حفاظت کارکنان
4-4-1 حفاظت در شرح شغل و کاریابی
لحاظ نمودن مسائل حفاظتی در مسئولیتهای شغلی
نقشها
و مسئولیتهای حفاظتی، باید در سیاست حفاظت اطلاعات سازمان در نظر گرفته
شود و به صورت مناسب و مستند در شرح شغل درج گردد ایزو
4-4-1-2 گزینش کارکنان
در مورد کارکنان دائم، باید در زمان درخواست کار کنترلها و تأییدهای لازم صورت گیرد ایزو
4-4-1-3 توافقنامة محرمانه بودن اطلاعات سازمانی
کارکنان، باید توافقنامة محرمانه بودن اطلاعات سازمانی را به عنوان بخشی از شرایط قراردادی خود، در هنگام استخدام امضاء نمایند ایزو
4-4-1-4 ضوابط استخدامی
ضوابط استخدامی بایستی حاوی مسئولیتهای کارکنان در زمینه حفاظت اطلاعات باشد ایزو
4-4-2 آموزش کاربر
4-4-2-1 آموزش دانش حفاظت اطلاعات
همة
کارکنان سازمان و در مواقع لزوم اشخاص ثالث، باید به نحوی مناسب و منظم
در مورد روالها و سیاستهای حفاظتی سازمان آموزش ببینند ایزو
4-4-3 پاسخ به حوادث و اشتباهات مربوط به حفاظت
4-4-3-1 گزارش حوادث حفاظتی
حوادث حفاظتی پس از کشف، باید در کوتاهترین زمان ممکن از طریق مجاری مدیریتی مناسب گزارش شوند ایزو
4-4-3-2 گزارش ضعفهای حفاظتی
کاربران خدمات اطلاعاتی، ضروری است هرگونه ضعف و تهدید حفاظتی روی خدمات و سیستمها را یادداشت و گزارش نمایند ایزو
4-4-3-3 گزارش اشتباهات نرمافزاری
روالهایی به منظور پیگیری گزارشهای اشتباهات نرمافزاری، باید ایجاد شوند ایزو
4-4-3-4 یادگیری از حوادث
برای اینکه، نوع، اندازه و هزینه اشتباهات و حوادث قابل اندازهگیری و نمایش شوند باید مکانیزمهایی ایجاد شوند ایزو
4-4-3-5 فرایند انضباطی
یک فرایند انضباطی رسمی برای تخلف از سیاستهای حفاظتی سازمان و روالهایی که کارکنان لازم است رعایت نمایند، باید ایجاد گردد ایزو
4-5 حفاظت فیزیکی و محیطی
4-5-1 محیطهای ایمن
4-5-1-1 میدان حفاظت فیزیکی
سازمانها، باید از میدانهای حفاظتی، برای حفاظت از محلهای نگهداری تجهیزات پردازش اطلاعات استفاده کنند ایزو
4-5-1-2 کنترلهای ورودی فیزیکی
محلهای ایمن، باید بوسیله کنترلهای ورودی مناسب محافظت شوند تا اطمینان حاصل شود فقط افراد مجاز میتوانند دسترسی داشته باشند ایزو
4-5-1-3 ایمنسازی دفاتر، اتاقها و امکانات
به منظور حفاظت از دفاتر، اتاقها و امکانات با نیازهای حفاظتی خاص، باید محلهای ایمن ایجاد گردند ایزو
4-5-1-4 کار در محلهای ایمن
برای
کار در محلهای ایمن، باید کنترلهای اضافی و رهنمودهای تکمیلی مورد
استفاده قرار گیرد تا از ایمن بودن این محلها اطمینان لازم حاصل شود ایزو
4-5-1-5 مجزاسازی محلهای انتقال و بارگیری اطلاعات
محلهای
انتقال و بارگیری اطلاعات، باید کنترل شود و درصورت امکان مجزا از محل
تجهیزات پردازش اطلاعات باشد، تا از دستیابیهای غیرمجاز جلوگیری شود ایزو
4-5-2 حفاظت تجهیزات
4-5-2-1 استقرار و حفاظت تجهیزات
تجهیزات،
باید در محل مناسب و محافظت شدهای قرار داشته باشند ایزو تا مخاطرات و
تهدیدهای محیطی و امکان دسترسی غیرمجاز کاهش یابد ایزو
4-5-2-2 منابع تغذیه
تجهیزات، باید از هرگونه صدمات ناشی از قطع یا خرابی منابع تغذیه محافظت شوند ایزو
4-5-2-3 حفاظت کابلکشی
به
منظور جلوگیری از هرگونه خسارت یا قطع شدن، باید کابلکشیهای برق،
دادهها و تلفن مورد استفاده در خدمات اطلاعاتی، محافظت شوند ایزو
4-5-2-4 نگهداری تجهیزات
تجهیزات، جهت اطمینان از تداوم فعالیت و یکپارچگی، متناسب با دستورالعملهای سازنده یا روالهای مستند شده، باید نگهداری شوند ایزو
4-5-2-5 حفاظت از تجهیزات در هنگام استفاده بیرونی
به منظور حفاظت از تجهیزات در هنگام استفاده در بیرون سازمان، باید روالهای حفاظتی ایجاد شوند ایزو
4-5-2-6 دور ریختن یا استفاده مجدد از تجهیزات به صورت مطمئن
قبل از دور ریختن یا استفادة مجدد از تجهیزات، اطلاعات باید از روی آنها پاک شود ایزو
4-5-3 کنترلهای عمومی
4-5-3-1 سیاست میز و صفحه پاک
به
منظور کاهش مخاطرات ناشی از دسترسی غیرمجاز و فقدان یا صدمه به اطلاعات،
سازمانها بایستی سیاست میز پاک و صفحه پاک را اختیار و اجرا کنند ایزو
4-5-3-2 جابجایی اموال
تجهیزات، اطلاعات یا نرمافزار متعلق به سازمان، نباید بدون اجازه جابجا شود ایزو
4-6 مدیریت ارتباطات و عملیات
4-6-1 روالهای عملیاتی و مسئولیتها
4-6-1-1 روالهای عملیاتی مستند شده
روالهای عملیاتی شناسایی شده در سیاست حفاظت (4-1-1-1) باید مستند و نگهداری شوند ایزو
4-6-1-2 کنترل تغییر عملیاتی
تغییرات در تجهیزات و سیستمهای پردازش اطلاعات، باید کنترل شده باشند ایزو
4-6-1-3 روالهای مدیریت حادثه
به منظور اطمینان از پاسخ سریع، مؤثر و مناسب به حوادث، باید روالها و مسئولیتهای مدیریت حادثه برقرار گردند ایزو
4-6-1-4 تفکیک وظایف
به منظور کاهش فرصتهای تغییرات غیرمجاز و استفادة نابجا از اطلاعات و خدمات، وظایف و محدودة مسئولیتها باید تفکیک گردند ایزو
4-6-1-5 جداسازی امکانات توسعه و عملیاتی
امکانات آزمایش و توسعه باید از امکانات عملیاتی مجزا شوند ایزو
4-6-1-6 مدیریت امکانات خارج سازمانی
قبل
از استفاده از خدمات قابل ارائه توسط مدیریت امکانات خارج از سازمان، باید
مخاطرات دقیقاً شناسایی و روشهای کنترلی مناسب که مورد توافق طرف قرارداد
و سازمان باشد، در قرارداد گنجانده شوند ایزو
4-6-2 برنامهریزی و پذیرش سیستم
4-6-2-1 برنامهریزی ظرفیت
برنامهریزی
لازم برای توان پردازش و ظرفیت ذخیرهسازی اطلاعات در دسترس، باید با در
نظر گرفتن تقاضاهای فعلی و آتی سیستم صورت پذیرد ایزو
4-6-2-2 پذیرش سیستم
معیار
پذیرش سیستمهای اطلاعاتی جدید و نسخههای جدید و به روز شده سیستمها،
باید مستند شده و قبل از پذیرش و جایگزینی سیستم قبلی، آزمایشهای کافی
صورت گیرد ایزو
4-6-3 حفاظت در برابر نرمافزار مخرب
-6-3-1 کنترلها در برابر نرمافزار مخرب
روالهای کنترلی، برای شناسایی، مقابله با نرمافزار مخرب و آگاهی کاربران از آنها باید پیاده شوند ایزو
4-6-4 اداره کردن
4
4-6-4-1 ایجاد پشتیبان اطلاعات
از اطلاعات مهم و اساسی و نرمافزارها، باید به طور منظم نسخههای پشتیبان تهیه گردد ایزو
4-6-4-2 ثبتهای مجری
کارکنان عملیاتی، باید فعالیتهای خود را ثبت نمایند ایزو
4-6-4-3 ثبت خرابی
خرابیها باید گزارش شده و عملیات تصحیح آنها، انجام شوند ایزو
4-6-5 مدیریت شبکه
4-6-5-1 کنترلهای شبکه
به منظور دستیابی به امنیت شبکه و حفظ آن باید مجموعهای از کنترلها اعمال گردد ایزو
4-6-6 جابجایی محیط ذخیره و حفاظت
4-6-6-1 مدیریت محیطهای رایانهای قابل جابجایی
مدیریت محیطهای رایانهای قابل جابجایی نظیر نوار، دیسک، کاست و گزارشهای چاپ شده، باید کنترل شده باشد ایزو
4-6-6-2 دور انداختن محیطهای ذخیره
محیطهای ذخیرهای که دیگر مورد نیاز نیستند، باید بصورت امن و محافظتشده دور ریخته شوند ایزو
4-6-6-3 روالهای جابجایی اطلاعات
به
منظور حفاظت اطلاعات در مقابل استفاده نابجا و غیرمجاز باید، روالهایی
جهت جابجایی و انبار کردن (محیطهای ذخیره) اطلاعات ایجاد شود ایزو
4-6-6-4 حفاظت از مستندات سیستم
مستندات سیستم، باید از دسترسی غیرمجاز محافظت گردند ایزو
4-6-7 تبادل اطلاعات و نرمافزار
4-6-7-1 توافقنامههای تبادل اطلاعات و نرمافزار
چه
برای تبادل دستی و چه برای تبادل الکترونیکی اطلاعات و نرمافزار بین
سازمانها، باید توافقنامههایی که میتوانند رسمی باشند، تهیه گردند ایزو
4-6-7-2 حفاظت محیطهای ذخیره در حال حمل و نقل
محیط ذخیرهای که جابهجا میشود باید از دسترسی غیرمجاز، صدمه یا استفادة نابجا حفاظت گردد ایزو
4-6-7-3 حفاظت تجارت الکترونیکی
تجارت الکترونیکی، باید در مقابل فعالیتهای غیرقانونی، آشکارسازی یا تغییر در اطلاعات آن، محافظت شود ایزو
4-6-7-4 حفاظت از پست الکترونیکی
برای استفاده از پست الکترونیکی، باید سیاست ویژهای تدوین گردد و کنترلهای لازم برای کاهش مخاطرات حفاظتی آن صورت گیرد ایزو
صحت و تناسب داده ورودی سیستمهای کاربردی، باید تأیید شوند ایزو
4-8-2-2 کنترل حین پردازش
برای تأیید و قابل قبول بودن دادههای پردازش شده، باید کنترلهایی در سیستمها تعبیه شود تا انحراف تشخیص داده شود ایزو
4-8-2-3 تصدیق اصالت پیام
برای برنامههای کاربردی که نیاز به حفاظت از یکپارچگی محتویات پیام دارند، باید تصدیق اصالت پیام صورت گیرد ایزو
4-8-2-4 تأیید دادههای خروجی
برای
اطمینان از اینکه پردازش اطلاعات ذخیره شده، صحیح و متناسب با شرایط بوده،
باید خروجی سیستمهای کاربردی مورد تأیید قرار گیرند ایزو
4-8-3 کنترلهای رمزنگاری
4-8-3-1 سیاست استفاده از کنترلهای رمزنگاری
برای حفاظت اطلاعات، باید سیاستی در جهت استفاده از کنترلهای رمزنگاری، تدوین و از آن پیروی گردد ایزو
4-8-3-2 رمزگذاری
برای حفاظت از اطلاعات حساس و مهم، باید رمزگذاری صورت گیرد ایزو
4-8-3-3 امضاء رقومی
به منظور حفاظت از تصدیق اصالت، مجازسازی و یکپارچگی اطلاعات الکترونیکی، باید امضاءهای رقومی به کار برده شوند ایزو
4-8-3-4 خدمات غیرقابل انکار
به منظور حل اختلافات در مورد وقوع یا عدم وقوع یک رویداد یا عمل، باید خدمات غیرقابل انکار مورد استفاده قرار گیرند ایزو
به منظور نظارت بر استفاده از امکانات پردازش اطلاعات باید روالهایی ایجاد شود و نتیجههای آن، به صورت منظم مرور شود ایزو
4-7-7-3 همزمانی ساعت
ساعت رایانهها، باید به منظور ثبت دقیق وقایع همزمان باشند ایزو
4-7-8 محاسبه سیار و کار از راه دور
4-7-8-1 پردازش سیار
کنترلهای
مربوطه، برای مقابله با مخاطرات کار با امکانات محاسبه سیار، به ویژه در
محیطهای غیر حفاظت شده، بایستی پذیرفته شوند و یک سیاست رسمی تدوین شود
ایزو
4-7-8-2 کار از راه دور
به منظور کنترل و مجازسازی در فعالیتهای راهدور، باید سیاستها و روالهایی تدوین و اجرا گردند ایزو
4-8 توسعه و نگهداری سیستمها
4-8-1 الزامات حفاظتی سیستمها
4-8-1-1 تحلیل و تعیین الزامات حفاظتی
الزامات سازمان به سیستمهای جدید یا گسترش سیستمهای موجود، باید حاوی الزامات کنترلی باشد ایزو
4-8-2- حفاظت در سیستمهای کاربردی
4-8-2-1- تأیید داده ورودی
4-7-7-1 ثبت وقایع
وقایع
به ویژه استثنایی، باید برای یک مدت مورد توافق، ثبت و نگهداری شوند تا در
رسیدگیهای آتی جهت نظارت بر کنترل دسترسی استفاده شوند ایزو
4-7-7-2 نظارت بر استفاده از سیستم
4-7-6-1 محدودیت دسترسی به اطلاعات
دسترسی به اطلاعات و سیستم کاربردی، باید بر اساس با سیاست تعریف شده کنترل دسترسی
(4-7-1-1)، محدود شود ایزو
4-7-6-2 مجزا سازی سیستمهای حساس
سیستمهای حساس، باید یک محیط اختصاصی و مجزای محاسباتی داشته باشند ایزو
4-7-7 نظارت بر دسترسی و استفاده سیستم
استفاده از برنامههای کمکی سیستم، باید به دقت کنترل و محدود شده باشد ایزو
4-7-5-6 هشدار اضطرار برای ایمن کردن کاربران
برای کاربرانی که ممکن است تحت فشار قرار گیرند، باید، هشدارهای لازم تهیه شود ایزو
4-7-5-7 خروج زمانی پایانه
به
منظور جلوگیری از دسترسی افراد غیرمجاز، ارتباط پایانههایی که در محلهای
با مخاطره بالا هستند، یا سیستمهای پر مخاطره توسط آنها اجرا میشود
چنانچه در یک بازه زمانی تعریف شده غیر فعال باشند، باید بهصورت خودکار
قطع شود ایزو
4-7-5-8 محدودیت زمان اتصال
به منظور اعمال حفاظت اضافی در استفاده از کاربردهای پر مخاطره، باید محدودیتهایی در زمان اتصال در نظر گرفته شود ایزو
4-7-6 کنترل دسترسی به برنامههای کاربردی
4-7-5-1 شناسایی خودکار پایانه
به منظور تصدیق اصالت اتصالات در محلهای معین و تجهیزات قابل حمل باید، شناسایی خودکار پایانه صورت گیرد ایزو
4-7-5-2 روالهای ورود پایانه
دسترسی به خدمات اطلاعاتی، باید با استفاده از یک فرایند ورود (آغاز به کار) امن صورت گیرد ایزو
4-7-5-3 شناسایی و تصدیق اصالت کاربر
همه
کاربران برای فعالیتهایشان، باید دارای یک شناسه منحصر به فرد (شناسه
کاربر) باشند، که مخصوص خودشان باشد و از طریق آن بتوان افراد مسئول را
ردیابی کرد ایزو
4-7-5-4 سیستم مدیریت کلمة عبور
یک سیستم مدیریت کلمة عبور که بتواند به طور مؤثر و متعامل از کیفیت کلمة عبور اطمینان حاصل نماید، باید به وجود بیاید ایزو
4-7-5-5 استفاده از برنامههای کمکی سیستم
4-7-4-7 کنترل اتصال شبکه
ظرفیت اتصال کاربران در شبکههای اشتراکی، بر اساس سیاست کنترل دسترسی (4-7-1-1)، باید محدود شود ایزو
4-7-4-8 کنترل مسیریابی شبکه
شبکههای
مشترک باید دارای کنترل مسیریابی باشند تا اطمینان حاصل شود که ارتباط
رایانهها و جریان اطلاعات در آنها، سیاست کنترل دسترسی به سیستمهای
کاربردی برای سازمان را که در
4-7-1-1 تعیین شده است، نقض نمینماید ایزو
4-7-4-9 حفاظت از خدمات شبکه
یک توصیف شفاف از خواص حفاظتی همة خدمات شبکة مورد استفاده توسط سازمان، باید تهیه شود ایزو
4-7-5 کنترل دسترسی به سیستم عامل
اختصاص کلمات عبور به کاربران، باید کنترل شده و بر اساس یک فرایند مدیریت رسمی صورت گیرد ایزو
4-7-2-4 بازنگری حق دسترسی کاربر
یک فرایند رسمی به طور منظم و در فواصل زمانی مناسب، باید حق دسترسی کاربران را مرور ودر صورت لزوم بازنگری نماید ایزو
4-7-3 مسئولیتهای کاربر
4-7-3-1 استفادة کلمة عبور
کاربران، باید در انتخاب و استفاده از کلمة عبور نهایت دقت را بنمایند ایزو
4-7-3-2 تجهیزات بدون مسئول مستقیم
کاربران، باید از حفاظت تجهیزات بدون مسئول مستقیم اطمینان داشته باشند ایزو
4-7-4 کنترل دسترسی شبکه
4-7-4-1 سیاست استفاده از خدمات شبکه
کاربران، باید فقط بطور مستقیم به خدماتی که برای آنها مجاز است، دسترسی داشته باشند ایزو
4-7-4-2 مسیر تأکید شده
مسیر پایانه کاربر تا رایانه سرویسدهنده، باید کنترل شده باشد ایزو
4-7-4-3 تصدیق اصالت کاربر برای ارتباطات از بیرون
دسترسی برای کاربران راهدور، باید بخشی از روال شناسایی و تصدیق اصالت باشد ایزو
4-7-4-4 تصدیق اصالت گره
اتصال به سیستمهای رایانهای راهدور، باید تصدیق اصالت شده باشند ایزو
4-7-4-5 حفاظت از پورتهای عیبیابی از راهدور
دسترسی به پورتهایی که برای عیبیابی از راهدور استفاده میشوند، باید کنترل شده باشد ایزو
4-7-4-6 جداسازی در شبکهها
در شبکهها، کنترلهایی برای گروههای مختلف خدمات اطلاعاتی، کاربران و سیستمهای اطلاعاتی باید تعریف شوند ایزو
4-7-2-1 ثبت نام کاربر
برای
ثبت نام و حذف کاربران، به منظور دسترسی به همة سیستمهای اطلاعاتی چند
کاربره و سرویسهای آنها، باید روالهایی رسمی وجود داشته باشد ایزو
4-7-2-2 مدیریت اختیارات ویژه
اختصاص و استفاده از اختیارات ویژه باید محدود و کنترل شده باشد ایزو
4-7-2-3 مدیریت کلمة عبور کاربر
4-7-1-1 سیاست کنترل دسترسی
الزامات
سازمانی برای کنترل دسترسی، باید به خوبی تعریف و مستند شوند و دسترسی،
باید به آنچه که سیاست کنترل و دسترسی تعریف کرده است، محدود شود ایزو
4-7-2 مدیریت دسترسی کاربر
4-6-7-5 حفاظت سیستمهای دفتری الکترونیکی
برای
حفاظت از سیستمهای دفتری الکترونیکی و کنترل مخاطرات همراه با سیستمهای
الکترونیکی، باید سیاستها و رهنمودهای معینی پیاده شوند ایزو
4-6-7-6 سیستمهای در دسترس عموم
قبل
از اینکه اطلاعات به طور عمومی در دسترس قرار بگیرند باید، یک فرآیند رسمی
برای مجازسازی وجود داشته باشد و حفاظتهای مربوط برای یکپارچگی و تغییر
نکردن اطلاعات آن صورت بگیرد ایزو
4-6-7-7 شکلهای دیگر مبادله اطلاعات
به منظور حفاظت تبادل اطلاعات در هنگام بکارگیری صوت، فاکس و امکانات ارتباطی ویدئویی باید، رویهها و کنترلهایی تعبیه گردد ایزو
4-7 کنترل دسترسی
4-7-1 الزامات سازمانی برای کنترل دسترسی
4-10-3-1 کنترلهای ممیزی سیستم
ممیزیهای سیستمهای عملیاتی، باید بر اساس برنامه و توافقهای انجام شده برای کاهش وقفه در فعالیتهای سازمان، صورت بگیرد ایزو
4-10-3-2 حفاظت از ابزارهای ممیزی سیستم
به منظور استفاده نادرست یا مصالحه، دسترسی به ابزارهای ممیزی سیستم، باید کنترل شوند ایزو
4-10-2-1 سازگاری با سیاست حفاظت
مدیران
باید اطمینان کسب کنند که روالهای حفاظتی متناسب با مسئولیتها، به درستی
اجرا میشوند و بازنگریهای لازم بر طبق سیاست و استانداردها، به طور
مداوم صورت میگیرد ایزو
4-10-2-2 کنترل سازگاری فنی
برای سازگاری با استانداردهای پیادهسازی حفاظت باید سیستمهای اطلاعاتی به طور منظم، کنترل شوند ایزو
4-10-3 ملاحظات ممیزی سیستم
4-10-2 مرور سیاست حفاظتی و سازگاری فنی
4-10 سازگاری
4-10-1 سازگاری با الزامات قانونی
4-10-1-1 شناسایی قوانین مرتبط
همة الزامات قانونی و قراردادی مرتبط، برای هر سیستم اطلاعاتی، باید به طور شفاف تعریف و مستند شده باشد ایزو
4-10-1-2 حقوق دارائیهای فکری
برای
اطمینان از سازگاری با محدودیتهای قانونی حقوق داراییهای فکری و استفادة
صحیح از محصولات نرمافزاری، باید روالهای مناسب پیاده شوند ایزو
4-10-1-3 حفاظت از مدارک و سوابق سازمانی
مدارک و سوابق مهم سازمان باید از گم شدن، خرابی یا استفاده نادرست حفاظت شوند ایزو
4-10-1-4 حفاظت داده و محرمانه بودن اطلاعات کارکنان
به منظور حفاظت از اطلاعات شخصی مطابق با قوانین و مقررات مربوطه، باید کنترلهایی صورت گیرد ایزو
4-10-1-5 جلوگیری از استفاده نادرست از امکانات پردازش اطلاعات
استفاده
از امکانات پردازش اطلاعات بایستی با اجازه مدیر باشد و کنترلهای لازم
برای جلوگیری از استفاده نادرست از این امکانات باید صورت گیرد ایزو
4-10-1-6 مقررات حاکم بر رمزنگاری
برای اطمینان از سازگاری با قوانین رمزنگاری ملی و دیگر قوانین و مقررات، باید کنترلهای لازم صورت گیرد ایزو
4-10-1-7 جمعآوری مدرک
به
منظور ارائه به مراجع ذیصلاح در محاکم دعاوی سازمان، باید مدرک لازم در
تمام زمینهها براساس استانداردها جمعآوری و نگهداری شده باشد ایزو
4-9-1-1 فرایند مدیریت تداوم فعالیت
برای توسعه و نگهداری تداوم فعالیت در سازمان، باید یک فرایند مدیریت شده وجود داشته باشد ایزو
4-9-1-2 تداوم فعالیت و تحلیل موانع
به منظور تداوم فعالیت، باید یک برنامة راهبردی متناسب با برآورد مخاطره، مناسب برای کلیة فعالیتها ایجاد شود ایزو
4-9-1-3 تدوین و پیادهسازی طرحهای لازم جهت حفظ تداوم در روال کارها
به
منظور نگهداری یا ازسرگیری فعالیتهای کاری عادی سازمان در یک زمان مطلوب،
پس از بروز وقفه و یا خرابی در کارهای بحرانی باید طرحهایی تدوین گردد
ایزو
4-9-1-4 چارچوب طراحی تداوم فعالیت
یک چارچوب واحد از
طرحهای تداوم فعالیت باید ایجاد و نگهداری شود تا اطمینان حاصل گردد همة
طرحها فراگیر بوده و حاوی اولویتهای آزمایش و نگهداری هستند ایزو
4-9-1-5 آزمایش، نگهداری و ارزیابی دوباره طرحهای تداوم فعالیت
طرحهای
تداوم فعالیت، باید به طور منظم آزمایش و نگهداری شوند، به طوری که همواره
اطمینان از به روز بودن و مؤثر بودن آنها وجود داشته باشد ایزو
خرید، استفاده و اصلاح نرمافزارها، باید در مقابل هرگونه احتمال وجود کانالهای مخفی و کد تروا کنترل شوند ایزو
4-8-5-5 توسعه نرمافزار توسط شخص ثالث
برای اطمینان از توسعه نرمافزار توسط شخص ثالث، باید کنترلهایی صورت گیرد ایزو
4-9 مدیریت تداوم فعالیت
4-9-1 جنبههای مدیریت تداوم فعالیت
4-8-5-1 روالهای کنترل تغییر
پیادهسازی
تغییرات، باید دقیقاً بوسیله استفاده از روالهای رسمی کنترل تغییر، کنترل
شوند تا میزان اتفاقات ناخواسته سیستمهای اطلاعاتی کمینه گردد ایزو
4-8-5-2 مرور فنی تغییرات سیستم عامل
در هنگام وقوع تغییرات، باید سیستمهای کاربردی مرور و آزمایش شوند ایزو
4-8-5-3 محدودیتهایی روی تغییرات در بستههای نرمافزاری
از اصلاحات روی بستههای نرمافزاری، باید اجتناب شده و تغییرات اساسی باید شدیداً کنترل شوند ایزو
4-8-5-4 کانالهای مخفی و کد تروا
4-8-4-1 کنترل نرمافزار عملیاتی
در بکارگیری نرمافزار، در سیستمهای عملیاتی، باید کنترل صورت گیرد ایزو
4-8-4-2 حفاظت از دادههای آزمایش سیستم
دادههای آزمایش سیستم، باید کنترل و محافظت شوند ایزو
4-8-4-3 کنترل دسترسی به کتابخانه منبع برنامهها
برای دسترسی به کتابخانه منبع برنامهها، باید کنترل شدیدی صورت گیرد ایزو
4-8-5 حفاظت در فرایندهای توسعه و پشتیبانی
4-8-3-5 مدیریت کلید
به
منظور پشتیبانی از روشهای رمزنگاری، باید یک سیستم مدیریت کلید، بر طبق
مجموعه استانداردها، روالها و روشهای مورد توافق، پیاده شود ایزو
4-8-4 حفاظت از پروندههای سیستم