حتما از اين قضيه هم خبر داريد كه هيات دولت بخشنامه زده تو سال 85 كه تا پايان يادم نيست چه سالي!!!!*كليه ادارات دولتي كه از شبكه كامپيوتري استفاده ميكنن بايد ISMS رو پياده سازي كرده باشن
ولي در حال حاظر فقط يه شركت نفتي تو جنوب تنها شركت داخل ايرانه كه ISO 27001 گرفته!!!!!
سال 86 بخشنامه ای به امضای معاون اول رئیس جمهور به همه سازمان ها و نهادهای دولتی ارسال شد و همه را موظف کرد که تا پیش از پایان همان سال، طرح امنیت اطلاعات خود را تهیه و برای تصویت به شورای عالی امنیت فضای تبادل اطلاعات ارسال کنند.
نوشته اصلی توسط mcmilad
قبلاً فقط اگه اسمش رو درست بگم سازمان بنادر و کشتیرانی امام خمینی isms گرفته بود که برای چند سال پیش هست و دیگر فاقد اعتباره ، الان می دونم شرکت های دیگر هم ISMS رو گرفتند ولی باید بپرسم کدوم شرکت ها بودند چون حضور ذهن ندارم
آقای حکیمی سلام
بهتر نبود مقدماتی از isms رو هرروزبصورت جز به جز در انجمن می نوشتین تا مقدمه واسه شروع باشه؟
مقدمه که نوشته شده. لینکی را هم پیش تر ذکر کردم.
حس خوبی ندارم که بالای منبر بروم و به صورت Monologue به نوشتن بپردازم. اینجا هم وبلاگ نیست. اصولا باید پرسش و پاسخی باشد تا مطالب نوشته شوند. من آماده ام که اگر پرسشی مطرح شد، پاسخگو باشم.
سلام
من موضوع پایان نام کارشناسی ارشد مشابه کار شماست. می تونم از راهنماییتون استفاده کنم؟
شروع بفرمایید، در قالب پرسش های مستقل و جداگانه با توجه به قوانین انجمن موارد مورد نظر را مطرح کنید تا در موردشان با هم به تبادل اطلاعات بپردازیم.
خوب اول موضوع پایان نامه
"مطالعه معیار های ارزیابی مدیریت امنیت اطلاعات بر اساس استاندارد های بین المللی"
هدفم از این پایان نامه ارائه چارچوب برای ارزیابی امنیت اطلاعات هست، البته چون ایراد می گرفتن که عنوان چارچوب بیاد تو عنوانم این جوری شد. یه کاری دیدم اومده بود 5 تا حوزه تقسیم کرده بود بر اساس ایزو 27001 و 27002. من میخوام همین کارو با حوزه های بیشتر و اگه بشه با مطالعه چند تا استاندارد انجام بدم.
این شروع بحث.
اگه ممکنه تا همین جاش نظرتون رو بدین.
دوستان رفتن تعطیلات!!!!
سلام
من فکر کنم اینجا جواب شما رو نوشتم ولی الان نیست؟
من یک دوره ممیزی داخلی ISMS بر اساس ISO 27001 گذروندم
بیشتر توضیح بدید تا بحث داغ بشه و ادامش بدیم
چیزی نگفتید که ما نظر بدیم
معیارها یعنی چی ؟ یعنی میخواین سنجه های ارزیابی استاندارد رو بررسی کنید ؟
من می خوام حوزه ها رو که زیر مجموعه اونها کنترل ها هستن(البته اگه درست گفته باشم) رو با توجه به استاندارد بررسی کنم. البته می خواستم از 2 یا 3 تا استاندارد استفاده کنم به غیر از ایزو . یه جور چارچوب خود ارزیابی برای سازمان ارائه کنم که اولویت بندی حوزه ها رو هم شامل بشه. مثلا توی 27001 اگه 10 تا حوزه داره 1 تا 10 مشخص بشه.
ممنون میشم بحث رو ادامه بدین
خوب شما میخواین کنترلها رو تغییر بدید ؟ یا کلا حوزه ها رو که مثلا شامل امنیت، طرف های خارجی، نیروی انسانی و .. هستند ؟
میدونید که کنترلها جزو استاندارد نیستند (جزو 27001) بلکه ضمیمه A اون هستند و به ما کمک میکنند ممیزی (چه اول شخص چه در ممیزی نهایی) رو بتونیم هم خوب برگزار کنیم هم بگذرونیم ! کلا بدونیم برای دستیابی به شرایط مناسب بندهای اصلی استاندارد چه اقداماتی باید انجام بشه !
حالا شما میخواین به این کنترلها چیزی اضافه و کم بکنید ؟ میخواین اونها رو بومی کنید ؟
این رو هم بگم دوست عزیز اگه میخواین نتایج بهتری بگیرید باید بیشتر توضیح بدید تا بقیه هم در جریان قرار بگیرن چون بحث های این تیپی کمتر مطرح شده
شما بد موقعی موضوع رو مطرح کردید
جناب جکیمی چند روی نیست و ایشون تو این موضوع خوب کار کرده
مدیر ما هم فوق لیسانس امنیت داره و تا جایی که یادمه موضوع پایان نامش شبیه به شما بوده
که خوب رفتند تا بعد عید
بهرحال به نظرم ادامه بدیم
ویرایش توسط th95 : 2011-03-17 در ساعت 10:07 PM
نمیدونم شاید طبق گفته شما همون بومی سازی بشه. من توی وب سایت دیدم که اومده بود 10 حوزه رو به 5 تا تغییر داده بود و 25 تا سوال با توجه به کنترل ها تهیه کرده بود برای ارزیابی. من می خوام با توجه به 3 تا استاندارد که پیدا کردم یه چارچوب ارائه بدم.
البته همونطور که قبلا هم گفتم کلمه چارچوب توی عنوان پایان نامه نیست. از دیدگاه خبرگان(متخصصانی که در زمینه امنیت اطلاعات و استاندارد های مربوطه کار کردند) و با توجه به ورودی 3 تا استاندارد( اطلاعات استاندارد ها) معیار های ارزیابی مدیریت امنیت اطلاعات رو توی چارچوب جدید مثلا 7 تا حوزه با کنترل هاشون(با توجه به اهمیت کنترل ها) مثلا 30 تا کنترل یه مدل برای ارزیابی مدیریت امنیت اطلاعات بدم. همونطور که می دونید کنترل ها توی ضمضمه ایزو بیشتر از 100 تا هستند و اگه قرار باشه همه رو مثل ایزو بیاریم دیگه کار جدید نمیشه.
در ادامه یه لیست از حوزه های 3 تا استاندارد رو مینویسم .
ISO/IEC 27001
- Risk assessment and treatment - analysis of the organization's information security risks
- Security policy - management direction
- Organization of information security - governance of information security
- Asset management - inventory and classification of information assets
- Human resources security - security aspects for employees joining, moving and leaving an organization
- Physical and environmental security - protection of the computer facilities
- Communications and operations management - management of technical security controls in systems and networks
- Access control - restriction of access rights to networks, systems, applications, functions and data
- Information systems acquisition, development and maintenance - building security into applications
- Information security incident management - anticipating and responding appropriately to information security breaches
- Business continuity management - protecting, maintaining and recovering business-critical processes and systems
- Compliance - ensuring conformance with information security policies, standards, laws and regulations
[edit] U.S. Federal Government information security standards
From NIST Special Publication SP 800-53 revision 3.
- AC Access Control
- AT Awareness and Training
- AU Audit and Accountability
- CA Certification, Accreditation, and Security Assessments
- CM Configuration Management
- CP Contingency Planning
- IA Identification and Authentication
- IR Incident Response
- MA Maintenance
- MP Media Protection
- PE Physical and Environmental Protection
- PL Planning
- PS Personnel Security
- RA Risk Assessment
- SA System and Services Acquisition
- SC System and Communications Protection
- SI System and Information Integrity
- PM Program Management
[edit] U.S. Department of Defense information security standards
From DoD Instruction 8500.2 there are 8 Information Assurance (IA) areas and the controls are referred to as IA controls.
- DC Security Design & Configuration
- IA Identification and Authentication
- EC Enclave and Computing Environment
- EB Enclave Boundary Defense
- PE Physical and Environmental
- PR Personnel
- CO Continuity
- VI Vulnerability and Incident Management
DoD assigns the IA control per CIA Triad leg.
خوب موضوع ارشد شما میشه همین ؟
بومی سازی ؟ تغییر حوزه ها و کنترلها بر اساس چند استاندارد مختلف ؟
قبول میکنند ؟
البته جسارت نشه ها ! من که خودم اصلا لیسانس هستم و فوق ندارم
ولی خوب این موضوع کمی آبکی به نظر نمیاد برای فوق لیسانس ؟ رشته شما گرایشتون دقیقا چیه ؟ صنایعی هستید یا IT ؟
راستی استاندارد IDS 279 رو دیدید >؟
(امیدوارم شمارش رو اشتباه نگفته باشم)
مركز استاندارد دفاعي ايران روش کار کرده ! شبیه به همین کار شماست تو حوزه دفاعی
بوميسازي استاندارد مديريت امنيت اطلاعات10/8/84 تا 1/3/86موسسه آموزشي و تحقيقاتي صنايع دفاعي، مركز استاندارد دفاعي ايران
ویرایش توسط th95 : 2011-03-17 در ساعت 10:42 PM
مجوز های ارسال و ویرایش
34سپاس
LinkBack URL
About LinkBacks
