استانداردها

استاندارد امنیتی ISO/IEC 27001

توسط کیهان نت 0

این استاندارد بین المللی که ارائه و تدوین شده است یک مدلی برای ایجاد، اجرا، نظارت، بازنگری، نگهداری و بهبود سیستم های اطلاعاتی است. اتخاذ ISMS باید یک تصمیم استراتژیک برای سازمان های اطلاعاتی باشد و این تصمیم به مسائلی مثل اهداف، نیازمندی های امنیتی، فرایندهای استخدام، اندازه و ساختار سازمان وابسته است.یکی از مدل های کاربردی برای فرایندهای ISMS مدل [۱] PCDA است که در تصویر زیر مشاهده می شود. در این مدل چهار گام اصلی انجام می شود که عبارتند از:

  • درک نیازهای امنیتی یک سازمان و نیاز به ایجاد سیاست ها و اهداف امنیت اطلاعات (برنامه ریزی)
  • پیاده سازی و کنترل‌های عملیاتی برای مدیریت ریسک های امنیت اطلاعات سازمان در زمینه خطرات کلی کسب و کار سازمان (انجام)
  • نظارت و بررسی عملکرد و اثربخشی ISMS (کنترل)
  • بهبود مستمر بر اساس اندازه گیری عینی (عمل)

 

  • اصطلاحات و تعاریف مرتبط در زمینه ISMS:
  • کنترل دسترسی[۲]: به معنی اطمینان از دسترسی مجاز و محدود شده براساس نیازمندی‌های امنیتی و تجاری به دارایی ها.
  • مدل تحلیلی[۳]:
  • حمله[۴]: تلاش برای نابود کردن، افشا، تغییر، غیر فعال کردن، سرقت یا دسترسی غیر مجاز به یا استفاده غیر مجاز از دارایی‌ها.
  • صفت[۵]: ویژگی یا مشخصه یک شی است که می تواند به طور کمی و یا کیفی به وسیله انسان یا اتوماتیک متمایز شود.
  • ممیزی[۶]: روند سیستماتیک، مستقل و مستند برای به دست آوردن شواهد ممیزی و ارزیابی عینی آن، تا اندازه معیارهای ممیزی برآورده شود.
  • حوزه ممیزی[۷]: حد و مرزهای ممیزی.
  • احراز هویت[۸]: ارائه یک تضمین که نشان دهد مشخصه ادعا شده از یک موجودیت[۹]، درست است.
  • اعتبار[۱۰]: مشخصه یک موجودیت و آن چیزی که ادعا می‌شود.
  • دسترس‌پذیری[۱۱]: مشخصه‌ای که توسط یک موجودیت مجاز قابل استفاده است.
  • معیار پایه[۱۲]:
  • صلاحیت[۱۳]: توانایی اعمال دانش و مهارت برای دستیابی به نتایج مورد نظر.
  • محرمانگی[۱۴]: مشخصه‌ای که از افشای اطلاعات در برابر افراد، موجودیت‌ها و فرایندهای غیر مجاز جلوگیری می‌کند.
  • انطباق[۱۵]: تحقق یک نیاز.
  • نتیجه[۱۶]: خروجی یک رویداد مؤثر بر اهداف.
  • بهبود مستمر[۱۷]: فعالیت های تکراری به منظور افزایش عملکرد.
  • کنترل[۱۸]: معیاری برای اصلاح ریسک.

[1] Plan-Check-Do-Act (PCDA)

[2] Access Control

[3] Analytical Model

[4] Attack

[5] Attribute

[6] Audit

[7] Audit Scope

[8] Authentication

[9] Entity

[10] Authenticity

[11] Availability

[12] Base Measure

[13] Competence

[14] Confidentiality

[15] Conformity

[16] Consequence

[17] Continual Improvement

[18] Control

کیهان نت

کیهان نت - مرجع رایگان آموزش های تخصصی فناوری اطلاعات و ارتباطات

شاید این موارد نیز مورد علاقه شما باشد نوشته های این نویسنده

نظر بدهید

آدرس ایمیل تان منتشر نخواهد شد.

بیشتر بخوانید

پروژه امنیتی OWASP

استاندارد امنیتی ASVS

صفحه گذاری برچسب صفحات