استاندارد ISO 17799 / BS 7799 در دو قسمت منتشر شده است:

    (Part1 ISO/IEC17799) یك نظامنامه عملی مدیریت امنیت اطلاعات است مبتنی بر نظام پیشنهادها و به منظور ارائه و ارزیابی زیرساختهای امنیت اطلاعات.
    (Part2 BS7799) مشخصات و راهنمای استفاده مدیریت امنیت اطلاعات است كه در حقیقت یك راهنمای ممیزی است كه بر مبنای نیازمندی ها استوار می باشد.

بخش اول مشخص كننده مفاهیم امنیت اطلاعاتی است كه یك سازمان بایستی آنها را بكار گیرد، در حالیكه بخش دوم در برگیرنده مشخصه های راهبردی برای سازمان است.

بخش اول شامل رهنمودها و توصیه هایی است كه هدف امنیتی و كنترل را در قالب حوزه مدیریتی از سطوح مدیریتی تا اجرایی به قرار زیر ارائه نموده است:

  سیاست امنیتی: دربرگیرنده راهنمایی ها و توصیه های مدیریتی به منظور افزایش امنیت اطلاعات است. این بخش در قالب یك سند سیاست امنیتی شامل مجموعه های از عبارات اجرایی در جهت پیشبرد اهداف امنیتی سازمان تنظیم می شود.
امنیت سازمانی: این بعد اجرایی كردن مدیریت امنیت اطلاعات در سازمان از طریق ایجاد و مدیریت زیرساخت های امنیتی شامل:
كمیته مدیریت امنیت اطلاعات
متصدی امنیت سیستم اطلاعاتی
صدور مجوزهای لازم برای سیستمهای پردازش اطلاعات
بازنگری مستقل تاثیرات سیستمهای امنیتی
هدایت دسترسی تامین كنندگان به اطلاعات درون سازمان
طبقه بندی و كنترل دارایی ها: طبقه بندی دارایی ها و سرمایه های اطلاعاتی و پیشبرد انبارگردانی و محافظت مؤثر از این سرمایه های سازمان، حوزه سوم این بحث است.
   امنیت پرسنلی: تقلیل مخاطرات ناشی از خطای انسانی، دستبرد، حیله و استفاده نادرست از تجهیزات كه به بخش های زیر قابل تقسیم است:
كنترل پرسنل توسط یك سیاست سازمانی كه با توجه به قوانین و فرهنگ حاكم برای ارزیابی برخورد پرسنل با دارایی های سازمان اتخاذ می شود.
مسئولیت پرسنل كه باید برای ایشان بخوبی تشریح شود.
شرایط استخدام كه در آن پرسنل باید به وضوح از مسئولیت های امنیتی خویش آگاه شوند.
تعلیمات كه شامل آموزش های پرسنل جدید و قدیمی سازمان در این زمینه می شود.
امنیت فیزیكی و محیطی: محافظت در برابر تجاوز، زوال یا از هم گسیختگی دادهها و تسهیلات مربوط كه شامل بخشهای امنیت فیزیكی محیط، كنترل دسترسی ها، امنیت مكان، تجهیزات و نقل و انتقال دارایی های اطلاعاتی می شود.

مدیریت ارتباطات و عملیات: كسب اطمینان از عملكرد مناسب و معتبر تجهیزات پردازش اطلاعات كه شامل روش های اجرایی، كنترل تغییرات، مدیریت وقایع و حوادث، تفكیك وظایف و برنامه ریزی ظرفیت های سازمانی میشود.
كنترل دسترسی: كنترل نحوه و سطوح دسترسی به اطلاعات كه در شامل مدیریت كاربران، مسئولیت های كاربران، كنترل دسترسی به شبكه، كنترل دسترسی از راه دور و نمایش دسترسی هاست.
توسعه و نگهداری سیستمها: اطمینان از اینكه امنیت جزء جدا نشدنی سیستمهای اطلاعاتی شده است. این بخش شامل تعیین نیازمندیهای امنیت سیستمها و امنیت كاربردی، استانداردها و سیاست های رمزنگاری، انسجام سیستمها و امنیت توسعه است.
تداوم و انسجام كسب و كار: تقلیل تاثیرات وقفه های كسب و كار و محافظت فرایندهای اساسی سازمان از حوادث عمده و شكست.
همراهی و التزام: اجتناب از هرگونه پیمان شكنی مجرمانه از قوانین مدنی، قواعد و ضوابط قراردادی و سایر مسائل امنیتی.

بخش دوم استاندارد فراهم كننده شرایط مدیریت امنیت اطلاعات است. این بخش به قدم های توسعه، اجرا و نگهداری نظام مدیریت امنیت اطلاعات می پردازد. ارزیابی سازمان های متقاضی اخذ گواهینامه از طریق این سند انجام می پذیرد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *