isms awareness it staff
Post on 20-May-2015
190 Views
Preview:
TRANSCRIPT
ISO 27001 Awareness Session
BySaquib Farooq Mal ik , S e n i o r I n f o r m a t i o n S e c u r i t y C o n s u l t a n t
27001:2005ايزو
الحربي. وائل م
معلومات امن مستشار
04/12/2023 3
Project Objectives
• Excellence in IT Operations• Business Continuity• Secure IT Systems
المشروع اهداف
المعلومات • تقنية تشغيل في التمييزالعمل • استمراريةالمعلومات • تقنية أنظمة تأمين
5/14/2014
Session objective
• Awareness regarding ISO 27001• Differentiating between a process based security management system
and a list of security controls or remediation.
المحاضرة من الهدف
األيزو • بخصوص 27001التوعيةالضوابط • وقائمة المعلومات أمن إدارة نظام بين التفريق
وعالجها األمنية
5/14/2014
04/12/2023 7
What Is Information Security
• The quality or state of being secure to be free from danger.• Security is achieved using several strategies
simultaneously or used in combination with one another.• Security is recognized as essential to protect vital
processes and the systems that provide those processes.
• Information security means protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction.
المعلومات امن هو ما
المخاطر • من خالية تكون أي امنه الحالة ان معنىالوقت • نفس في استراتيجيات عدة باستخدام يتحقق األمن
البعض بعضها مع مجموعة في تستخدم اوالتي • والنظم الحيوية العمليات لحماية اساسي امر األمن
العمليات تلك توفر
المعلومات • ونظم امن المعلومات حماية تعنياو االستخدام او به المصرح غير الوصول من المعلومات
التدمير او التغيير او اإلخالل او .اإلفصاح
5/14/2014
04/12/2023 9
Information Security Triad…Required by any business that handles information
Confidentiality • Where the access is restricted to a specific list of people. These could
be company plans, secret manufacturing processes, formulas, etc.
Integrity
• Safeguarding the accuracy and completeness of information and
processing methods.
Availability
• Ensuring that authorized users have access to information when
they need it.
المعلومات • ألمن األساسية …المفاهيم
السرية•اشخاص قبل من عليها يطلع وال تكشف ال المعلومات ان من التأكد وتعني
. بذلك مخولين غير
التكامل•
به العبث او تعديله يتم ولم صحيح المعلومات محتوى ان من التأكدمرحلة في سواء المعالجة مراحل من مرحلة اية في تغيره او
مشروع غير تدخل طريق عن او المعلومات مع الداخلي التعامل
اإلتاحة•
على القدرة واستمرار المعلوماتي النظام عمل استمرار من التأكدالى يتعرض لن المعلومات مستخدم وان المعلومات مع التفاعل
اليها . دخوله او لها استخدامه منع
•5/14/2014
ISMS Core Concepts
Confidentiality
Integrity
Availability
Authenticity Reliability
Non-RepudiationAccountability
المعلومات امن إدارة لنظام االساسية المفاهيم
5/14/2014
السرية
التكامل
اإلتاحة
الموثوقية االعتمادية
االنكار عدم
المسؤولية
Confidentiality
Integrity
Availability
Information
Conversation
Document
Data mediaInformation systems
Network
Know-how
Human faultsOperational disruptions
Software faults
In-compatibility
Leakage
Power Failure
Delivery problemService disruption
Notice to quit, sicknessLoss of Key Personnel
Fire, smokeExplosion
Water damage
TheftDestruction,Sabotage Vandalism
Natural phenomena
Virus
Forgery
AccessControl
EspionageIllegal copyingPiracy copies
Fraud
Identification and Threats & Risks
السرية التكاملاالتاحة
المعلومات
المحادثاتالمستندات
البيانات نقل وسائلالمعلومات انظمة
الشبكة
الخبرة
البشرية ،االخطاءالعمل وتعطل
البرمجيات اخطاء
التوافق عدم
التسرب
التيار انقطاعالكهربائي
التوصيل ، مشاكلالخدمة وانقطاع
المفاتيح فقدن ، المرض
الحريق
الناجمة االخطارالمياه عن
السرقة
والتخريب الدمار
الطبيعية الكوارث
الفيروسات
تزوير
التحكمبالوصول
التجسسالمشروع غير ،النسخ
القرصنة
االحتيال
والتهديدات المخاطر
5/14/2014
Information Security Concepts
Components of Risk
Proprietary15
Threat
Vulnerability+
RISK
المعلومات امن مفاهيم
المخاطر عناصر
5/14/2014
التهديدات
الضعف +نقاط
الخطر
ISO 27001is all about risk!
5/14/2014
ISO 27001المخاطر عن شيء كل
Introduction ISO 27001 & ISMS
ISO 27001 has been prepared to provide a model for: Establishing Implementing Operating Monitoring Reviewing Maintaining and improving
a Risk based Information Security Management System (ISMS)
لاليزو المعلومات 27001مقدمة امن إدارة ونظام
5/14/2014
ايزو إعداد :27001تم لالتي نموذج لتقديمالتأسيسالتطبيقالتشغيلالمراقبةالمراجعة والصيانة المحافظةوالتطوير
المعلومات امن إدارة (ISMS)نظام
Published in TWO parts
• ISO 27001:2005Specification for Information Security
Management Systems
• ISO 17799:2005 (now ISO 27002)Code of Practice for Information Security
Management
: هما جزئيين في اصدرت
5/14/2014
27001:2005ايزو •المعلومات امن ادارة انظمة في مختصة
(27002األن) 17799:2005ايزو •المعلومات امن ادارة ممارسة قواعد
The benefits of certification are numerous and include:
1. Policies & procedures.
2. Assured continued due diligence.
3. Evaluations will be conducted by Certified Bodies.
4. Your ISMS will be audited to a internationally accepted criteria
resulting in mutual recognition of the evaluation results
Certifiable, Proven, Defensible, Cost-Effective, Recognition of Best
Practices in information security
5. Assists organizational compliance with legal, regulatory, and
statutory requirements.
Why a standard?
: منها بعض وسنذكر كثيره الشهادة هذه على الحصول فوائد
.1. واالجراءات السياسات
.2. الالزمة العناية الى الوصل من التأكد
.3. معتمدة هيئات قبل من ستجرى التقييم عمليات
دوليا 4. منسقة معايير وفق تدقيقه سيتم المعلومات امن ادارة نظامعنها، والدفاع التقييم، لنتائج المتبادل االعتراف إلى يؤدي مما
في الممارسات أفضل على التعرف و التكلفة، حيث من وفعاليتها. المعلومات أمن مجال
التنظيمية 5. والمتطلبات للقوانين االمتثال على المصلحه يساعدوالتشريعية.
: المعيار هذا لماذا
5/14/2014
Business Case for ISMS
Study Shows - Most common source of data leaks*:
Lost or stolen laptops, Personal Digital Assistants or memory sticks/thumb drives - 35% of all incidents studied
Records lost by third-party business partners or outsourcing companies – 24%
Misplaced or stolen back up file – 18% Lost or stolen paper records – 13% Usage of malware (spyware) programs - 10%
*U.S. Companies that reported a breach. [Ponemon Data Breach Study – October 2007 (US)]
امن ادارة بنظام متعلقة عامة حالة دراسةالمعلومات
5/14/2014
: الدراسة البيانات تبين تسريب في شيوعا االكثر االسباب : ان المحمولة األجهزة او توب، الالب الحاسب سرقة او فقدان
بنسبة الذاكرة % 35او مع المتعاقدة الشركات قبل من السجالت فقدان
بنسبة %.24المنظمات ضياعها او االحتياطية النسخ %.18سرقة ضياعها او الورقية السجالت %.13سرقة الضارة البرامج %.10استخدام
المتحد* الواليات في بونيمون عهد بها قام الدراسة هذهاالمريكية
04/12/2023 27
Security Breaches
• Information Security is “Organizational Problem” rather than “IT Problem”.
• More than 80% of Threats are Internal.
• More than 60% culprits are First Time fraudsters.
• Biggest Risk : People.
• Biggest Asset : People
• Social Engineering is major threat.
More than 2/3rd express their inability to determine “Whether my systems are currently compromised?”
االمنية الخروقات
تقنية • في فقط محصورة وليست عام بشكل للمنظمة على المعلومات امن ضررالمعلومات
•80%. المنظمة داخل من تكون التهديدات من
•60%. الجناة قبل من مره ألول تحدث الحوادث من
•. : االشخاص المخاطر اكبر
• : االشخاص االصول اكبر
•. التهديدات اكبر تعتبر االجتماعية الهندسة
خطر في األنظمة كانت اذا ما تحديد يستطيعون ال االشخاص ثلثي من اكثر
5/14/2014
04/12/2023 29
Security breaches leads to
• Reputation loss• Financial loss• Intellectual property loss• Legislative Breaches leading to legal actions (Cyber
Law)• Loss of customer confidence• Business interruption costs
LOSS OF GOODWILL
إلى يؤدي األمنية الخروقاتفقدان سمعة المنظمة•الخسائر المالية•خسائر الملكية الفكرية•الخروقات التشريعية مما يؤدي الى اجراءات قانونية •فقدان ثقة العميل•تكاليف تعطل العمل•
5/14/2014
فقدان السمعة
04/12/2023 31
Lifecycle
المعلومات امن ادارة نظام دورة
5/14/2014
04/12/2023 33
Where does it start ? Security Planning is a quantitative process which starts from Information Assets
'Information is an asset which, like other important business assets, has value to an organization and consequently needs
to be suitably protected’
هو االمني التخطيط تبدأ؟ اين مناصول من تبدا والتي كمية عملية
المعلومات.األصول من غيرها مثل األصول أحد هي المعلومات
تكون أن ويجب منظمة إلى قيمة له الهامة، التجاريةمناسب بشكل محمية
5/14/2014
35
Asset Critical Assessment
االصول تقييم
In order to determine risks faced by Information, we need to see, what happens to information in the work place ?
• The three actors on information are • People• Processes• Technology
نحن المعلومات، تواجهها التي المخاطر تحديد اجل منالعمل مكان في للمعلومات يحدث ماذا نرى ان إلى بحاجة
•: هي للمعلومات الرئيسة اضالع الثالثةاألشخاص•العمليات •التقنية•
39
Information can be:
• Created
• Stored
• Destroyed
• Processed
• Transmitted
• Used – (For proper & improper purposes)
• Corrupted
• LostActors
• Stolen
• Printed or written
• Stored electronically
• Transmitted by post or using electronics means
• Shown on corporate videos
• Displayed / published on web
• Verbal – spoken in conversations
تكون : قد المعلومات
مؤلفة•
مخزنة•
متلفة•
معالجة•
منقولة•
سوآءا - ) • مستخدمةألغراض كانت
) ذلك غير او سليمة
فاسدة•
ضائعة•
40
مسروقة•
مكتوبة • او مطبوعة
الكترونيا • مخزنة
او • البريد طريق عن منقولةالكترونية وسيلة أي
الفيديو • طريق عن معروضه
طريق • عن وتنشر تعرضالويب
طريق – • عن اللفظيةالمحادثات
04/12/2023 41
People “Who we are”
People who use or interact with the Information include:
Share Holders / Owners. Management. Employees. Business Partners. Service providers. Contractors. Customers / Clients. Regulators etc…
04/12/2023 42
( هم ) من االشخاص
: ويشمل المعلومات مع ويتفاعلون يستخدمون الذين االشخاص
/المالك المساهميناالدارةالموظفين التجاريين الشركاء الخدمة مزودي المتعاقدين/العمالء الزبائن .. والخ المنظمين
04/12/2023 43
Process “what we do”
The processes refer to "work practices" or workflow. Processes are the repeatable steps to accomplish business objectives. Typical process in our IT Infrastructure could include:
Helpdesk / Service management. Incident Reporting and Management. Change Requests process. Request fulfillment. Access management. Identity management. Service Level / Third-party Services
Management. IT procurement process etc...
به " نقوم ما "العملية
. " الخطوات " هي و العمل سير أو العمل ممارسات إلى تشير العمليات . في النموذجية العملية تشتمل أن ويمكن العمل أهداف إلنجاز المتكررة
المعلومات لتقنية التحتية :البنية االتي على
/ المساعدة مركز الخدمات ادارة عنها واالبالغ الحوادث ادارة التغيير طلبات طريقة االيفاء طلب الوصول ادارة الهوية ادارة. / الثالثة األطراف خدمات إدارة الخدمة مستوى ... الخ الشراء عملية
5/14/2014
Technology “what we use to automate”
• Automatic Logs
• Reports
• Outputs
) آلي ) لنجعله نستخدم ماذا التكنولوجيا
االتوماتيكية • السجالت
التقارير•
المخرجات•
04/12/2023 47
Why documentation is required
ISO-27001 Audit Criteria:
An auditor audits the auditee against 3 mentioned criteria
1. Legal and Regulatory2. ISO-27001:2005 Standard3. Organizational DocumentBusiness advantage of documentation:
The intellect, the skill and experience of the employees becomes the intellect, skill and experience of the organization e.g. Manual switch over of a server.
التوثيق الى نحتاج لماذاايزو التدقيق 27001معاير
: معايير ثالث في للتدقيق الخاضعة الجهة في بالتدقيق يقوم المدقق
والتنظيمية 1. القانونية
ايزو 2. 27001معايير
التنظيمية 3. الوثيقة
5/14/2014
التوثيق من العملية الفائدة
للمصلحة وخبرة ومهارة فكر تصبح الموظفين وخبرة ومهارة فكر. الخادم على اليدوي التبديل المثال سبيل على
04/12/2023 49
Documentation
التوثيق
5/14/2014
04/12/2023 51
Information Security Policy
IS Policy is approved by Top Management
and Policy is published in the organization
المعلومات امن سياسة
سياسة امن المعلومات يتم الموافقة عليها من قبل االدارة العليا ومن ثم يتم تحرير السياسة
5/14/2014
04/12/2023 53
Control of Document
• All documents have to be controlled.
• The following information is essential to control a document:• Title• Type• Issue status and version• Page number & total number of pages• Approval authority • Issuing authority • Issue date• Document Code
بالوثائق التحكم
•. السيطرة تحت تكون ان يجب الوثائق جميع
•: الوثائق على للسيطرة مهمه التالية المعلوماتالعنوان•النوع•االصدار • حالةالصفحات • ارقام ومجموع الصفحة رقمالموافقة • سلطةاالصدار • سلطةاالصدار • تاريخالوثيقة • كود
5/14/2014
04/12/2023 55
Procedures• Fixed, step-by-step sequence of activities or course of
action with definite start and end points that must be followed in the same order to correctly perform a task. Repetitive procedures are called routines.
• Procedure Documents:• Control Of Documents • Risk Assessment • Corrective & Preventive Action • Data Backup • Patch Management • Internal Audit
االجراءاتالبداية • نقاط تحديد مع العمل مسار أو األنشطة من خطوات سلسلة ثابتة،
. ويطلق صحيح بشكل مهمة لتنفيذ نفسه بالترتيب اتباعها يجب التي والنهايةالروتين المتكررة اإلجراءات على
االجراءات • :مستنداتبالوثائق • التحكمالمخاطر • تقييموالوقائية • التصحيحية االعمالللبيانات • االحتياطي النسخالتصحيح • ادارةالداخلي • التدقيق
5/14/2014
04/12/2023 57
Standards• General: Written definition, limit, or rule,
approved and monitored for compliance by an authoritative agency or professional or recognized body as a minimum acceptable benchmark.
• Standards may be classified as
• Government or statutory agency standards and specifications enforced by law,
• Proprietary standards developed by a firm or organization and
placed in public domain to encourage their widespread use, and Voluntary standards established by consultation and consensus and available
for use by any person, organization, or industry.
• Standard Document:– Access Control
– Asset Management
– Backup & Restoration
– Data Transmission
– Data Classification
– Data Encryption
– Data Handling
– Employee Conduct
– Event Logging
– Firewall
– Network Application
– Network Security
– Physical Security
– Teleworking
المعايير : قاعده، او ومحدد مكتوب تعريف عام بشكلوكالة قبل من للتماثل ومصدقة مراقبة تكوناالدنى الحد او بها معترف مهنية هيئه او موثوقة
المعيار من .المقبول
•: الى تقسم قد المعايير
قانونية • وكالة أو الحكومة معاييرالقانون، بموجب االلزامية والمواصفات
منظمة • أو شركة وضعتها التي الملكية معاييرعلى استخدامها لتشجيع العام المجال في وضعت
بالتشاور وضعتها التي الطوعية والمعايير واسع، نطاقأو شخص أي قبل من لالستخدام واالتاحة والتوافق
. صناعة أو منظمة،
5/14/2014
المعايير • :مستندبالوصول – التحكم
االصول – ادارة
االحتياطي – والنسخ الحفظ
البيانات – نقل
البيانات – تصنيف
البيانات – تشفير
البيانات – معالجة
الموظف – سلوك
االحداث – تسجيل
الناري – الجدار
الشبكة – تطبيق
الشبكة – امن
المادي – االمن
بعد – عن العمل
04/12/2023 59
Plan• Written account of intended future course of action scheme aimed
at achieving specific goal(s) or objective(s) within a specific timeframe. It explains in detail what needs to be done, when, how, and by whom, and often includes best case, expected case, and worst case scenarios.
• Plan Documents• Business Continuity Plan • Change Control Plan • Incident Response Plan • Internal Audit Plan • Security Awareness Plan • Vendor Implementation Plan • Vulnerability Assessment
الخطةفي • غاية أو معين هدف تحقيق إلى الرامية العمل خطة من المقصود المستقبلي المسار
. وعلى وكيف، ومتى، به، القيام يجب ما بالتفصيل يفسر ما وهذا محددة زمنية فترة غضون. األحيان من كثير في السيناريوهات وأسوأ المتوقعة، والحالة حالة، أفضل ويتضمن من، يد
الخطة • مستنداتالعمل • استمرارية خطة•Change Control Plan للحوادث • االستجابة خطةالداخلي • التقييم خطةاالمنية • التوعية خطةالبائع • تطبيق خطةالضعف • نقاط تقييم
5/14/2014
04/12/2023 61
Guideline• Intended to answer specific questions.• Contain information on questions concerning the directive.• intended to provide orientation and help to meet the
requirements of the directive.• Draft Guidelines are developed by the Professional
draftsmen and subjected to internal comment and review by other experts.
• Guideline documents:• Access Control Guideline • Data Protection Guideline • Email Security Guideline • Password Control Guideline • Routing Guideline • Security Guideline • WLAN Guideline
االرشاداتمحدده • اسئلة عن االجابة الى تهدفبالتوجيه • المتعلقة المسائل بشأن معلومات على تحتويالتوجيهات • متطلبات لتلبية والمساعدة التوجيه تقديم الى تهدفوتعرض • النصوص واضعي قبل من التوجيهية المبادئ مشروع تطوير يتم
اخرين خبراء قبل من الداخلية والمراجعة للمناقشة
اإلرشادات • مستنداتبالوصول • التحكم ارشاداتالبيانات • حماية ارشاداتااللكتروني • البريد امن ارشاداتالمرور • بكلمة التحكم ارشاداتالتوجيه • ارشاداتاالمن • ارشاداتالالسلكية • الداخلية الشبكة استخدام ارشادات
5/14/2014
04/12/2023 63
Operational Forms• Operational forms are set of procedures and permission
need to be filled up at the event of and any non-recommended action.
التشغيل نماذج
التي • الالزمة والرخص اإلجراءات من مجموعة هي التشغيل نماذجبه موصى غير عمل أي حدوث حالة في تعبئتها يتطلب
5/14/2014
04/12/2023 65
Records (Evidences)
• The organisation needs to maintain records to provide evidence of conformities to requirements and to determine the effectiveness of ISMS.
• Should be simple and legible.
• Should be used for the continual improvement of ISMS.
• Should be organized and manageable.
• Should be maintained in any form.
) األدلة ) سجالت
مطابقتها • على أدلة لتقديم بسجالت االحتفاظ المصلحه على يجب. المعلومات امن ادارة نظام فعالية وتحديد للمتطلبات
•. القراءة وسهلة بسيطة تكون أن ينبغي
امن • ادارة لنظام المستمر لتحسين تستخدم أن وينبغيالمعلومات.
•. بها التحكم سهل و منظمة تكون ان وينبغي
• . األشكال من شكل بأي عليها الحفاظ ينبغي
5/14/2014
04/12/2023 67
Effective Documentation Clear Concise User friendly Use short sentences starting with a verb Avoid using the passive voice. Make it clear who
is performing the task Use white space for easy reading Precise and as much as needed Work instructions written for virtually everything No overlap and repetition
الفعال التوثيقواضحمختصر المعاملة حسن بفعل تبدأ قصيرة جمل استخدام . من توضح ان يجب للمجهول المبني صيغة استخدام تجنب
المهمة بتنفيذ يقوم الذي القراءة لتسهيل البيضاء المساحة استخدام الحاجة وبقدر دقيقة تقريبا شيء كل على مكتوبة العمل تعليمات والتكرار تداخل يوجد ال
5/14/2014
04/12/2023 69
Education regarding organizational documentation strengthens the Human Wall.Human wall is always better than a firewall.
Information Security is EVERYONE’s responsibility.
افضل هو دائما البشري الجدارالحماية جدار من
. البشري الجدار يقوي التنظيمية الوثائق بشأن التعليم
5/14/2014
الجميعامن المعلومات مسؤولية
71
ISO 27001 - Roadmap
طريق خارطة –27001ايزو
5/14/2014
73
ISO 27001 - Scope
ISO 27001 provides a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS).
The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization.
These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution.
The ISO 27001 Standard can be used in order to assess conformance by interested internal and external parties.
5/14/2014
العمل – 27001ايزو نطاق
ومراجعة 27001ايزو ومراقبة وتشغيل وتنفيذ إلنشاء نموذجا يقدموتحسين المعلومات )وصيانة أمن إدارة (.ISMSنظام
استراتيجيا قرارا يكون أن ينبغي المعلومات امن ادارة نظام اعتماداالحتياجات. خالل من المصلحه في وتنفيذه تصميم ويتأثر للمؤسسةوهيكلة وحجم المستخدمة والعمليات األمنية، والمتطلبات واألهداف
المصلحه.
. الوقت مرور مع لها الداعمة األنظمة وهذه تتغير أن المتوقع منتنفيذ تحجيم يتم أن المتوقع المصلحه، ISMSومن الحتياجات وفقا
خالل تتطلب بسيطة حالة المثال سبيل .ISMSعلى ايزو من 27001و المطابقة تقييم أجل من استخدامه يمكن معيار
المهتمة والخارجية الداخلية األطراف .قبل
75
Management Support• Management should actively support security within the
organization through clear direction, demonstrated commitment, explicit assignment, and acknowledgment of information security responsibilities.
• Management should approve the information security policy, assign security roles and co-ordinate and review the implementation of security across the organization.
5/14/2014
االدارة دعم
اتجاه • خالل من المصلحه داخل األمن إدارة بنشاط تدعم أن يجب. المعلومات أمن مسؤوليات واالعتراف مبينه، مهمة و واضح، والتزام
األدوار • وإسناد المعلومات، أمن سياسة على الموافقة لإلدارة ينبغي . المصلحه أنحاء جميع في األمن تنفيذ واستعراض وتنسيق األمنية
77
Inventory of Assets
• All assets should be clearly identified and an inventory of all important assets drawn up and maintained.
• The asset inventory should include all information necessary in order to recover from a disaster, namely:
• Type of asset; • Format (i.e. Information, software, physical, services, people,
intangibles) • Location;• Backup information; • License information; • Business value.
5/14/2014
االصول جرد
الهامة • االصول جميع وحصر بوضوح تحدد ان يجب االصول جميع. عليها والمحافظة
التعافي • اجل من الالزمة المعلومات جميع االصول تشمل ان ينبغي: الكوارث من
االصول • نوع
والبرمجيات ) • المعلومات، أي شكلواالشخاص، والخدمات، والماديات،
) الملموسة غير واالصولالموقع•االحتياطي • النسخ معلوماتالمرخصة • المعلوماتالعمل • قيمة
79
Risk Assessment
• Risk assessments should identify, quantify, and prioritize risks against criteria for risk acceptance and objectives relevant to the organization.
• The results should guide and determine the appropriate management action and priorities for managing information security risks and for implementing controls selected to protect against these risks.
• The process of assessing risks and selecting controls may need to be performed a number of times to cover different parts of the organization or individual information systems.
• Risk assessment should include the systematic approach of estimating the magnitude of risks (risk analysis) and the process of comparing the estimated risks against risk criteria to determine the significance of the risks (risk evaluation).
• The information security risk assessment should have a clearly defined scope in order to be effective and should include relationships with risk assessments in other areas, if appropriate.
5/14/2014
المخاطر تقييم
معايير • وفق المخاطر أولويات يقيس و يحدد ان يجب المخاطر تقييم . للمصلحه الصلة ذات واألهداف المقبولة المخاطر
إدارة • اولوية وتحدد االدارة عمل أولويات وتحدد توجه ان يجب النتائجهذه من للحماية المحددة الضوابط وتطبيق المعلومات أمن مخاطر
المخاطر.بها • القيام يتعين التي الضوابط وتحديد المخاطر تقييم عملية تحتاج قد
المعلومات نظم أو المصلحه من مختلفة أجزاء لتغطية مرات عدةالفردية.
المخاطر • حجم لتقدير منظم نهج مخاطر تقييم تشمل أن وينبغي ) لمعايير) وفقا المقدرة المخاطر هذه مقارنة وعملية المخاطر تحليل
.) المخاطر ) تقييم أهميتها لتحديد المخاطرالمعالم • واضح نطاق في المعلومات أمن مخاطر تقييم يكون أن يجب
المخاطر تقييم مع عالقات تشمل أن وينبغي فعالة تكون أن أجل من. مناسبا ذلك كان إذا أخرى، مجاالت في
81
Conduct Risk Assessment and Prepare Risk TreatmentPlan
• The organisation should formulate a risk treatment plan (RTP) that identifies the appropriate management action, resources, responsibilities and priorities for managing information security risks.
• The RTP should be set within the context of the organization's information security policy and should clearly identify the approach to risk and the criteria for accepting risk.
• The RTP is the key document that links all four phases of the Plan, Do, Check, Act (PDCA) cycle for the ISMS.
5/14/2014
منها؟ التعافي خطة وإعداد المخاطر تقييم إجراء
المخاطر • من للتعافي خطة وضع للمصلحه تحدد RTPينبغي الذيإلدارة المناسبة واألولويات والمسؤوليات والموارد اإلدارية، اإلجراءات
. المعلومات أمن مخاطر
وينبغي RTPو • للمصلحه المعلومات أمن سياسة سياق في تعيين يجب. المخاطر قبول ومعايير للمخاطرة النهج بوضوح تحدد أن
•RTP - ( خطط األربع المراحل جميع تربط التي الرئيسية الوثيقة هي( ) صحح – – تحقق ل( PDCAنفذ ISMSدورة
83
Prepare Statement ofApplicability
• A Statement of Applicability (SOA) is a document that lists an organization’s information security control objectives and controls.
• The SOA is derived from the results of the risk assessment, where:• Risk treatments have been selected;• All relevant legal and regulatory requirements have been
identified; Contractual obligations are fully understood; • A review the organization’s own business needs and
requirements has been carried out.
5/14/2014
التطبيق قابلية بيان اعدادالتطبيق )• قابلية ألمن( SOAبيان الرقابة أهداف تسرد وثيقة هو
. والضوابط المؤسسة في المعلومات
حيث • المخاطر، تقييم نتائج من مشتق :وهو•; الخطر معالجة اختيار يتم
القانونية • المتطلبات جميع تحديد تم وقدالمفهوم ومن الصلة؛ ذات والتنظيمية
التعاقدية؛ االلتزامات تماماالعمل • احتياجات استعراض أجري وقد
. المتطلبات تنفيذ و للمصلحه الخاصة
85
PDCA Model• The "Plan-Do-Check-Act" (PDCA) model is
applied to structure all ISMS processes.
• The diagram illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces managed information security outcomes that meets those requirements and expectations.
5/14/2014
PDCA نموذج
ال • تحقق ) - – – PDCL نموذج نفذ خطط وهوادارة( نظام عمليات لجميع هيكلة لتطبيق صحح
. المعلومات امن
كيف • التخطيطي الرسم يأخذ ISMSيوضحاألطراف وتوقعات المعلومات أمن متطلبات
وعمليات اجراءات خالل من و كمدخالت المعنيةالمعلومات أمن مخرجات عنها ينتج الزمة
. والتوقعات المتطلبات تلك تلبي التي المدارة
87
• Plan (establish the ISMS)• Establish ISMS policy, objectives, processes and procedures relevant to managing risk and
improving information security to deliver results in accordance with an organization’s overall policies and objectives.
• Do (implement and operate the ISMS)• Implement and operate the ISMS policy, controls, processes and procedures.
• Check (monitor and review the ISMS)• Assess and, where applicable, measure process performance against ISMS policy, objectives
and practical experience and report the results to management for review.
• Act (maintain and improve the ISMS)• Take corrective and preventive actions, based on the results of the internal ISMS audit and
management review or other relevant information, to achieve continual improvement of the ISMS.
PDCA Model
5/14/2014
نظام ) خطط • (ISMSتأسيسامن • ادارة نظام وإجراءات وعمليات وأهداف سياسة إنشاء
المعلومات أمن وتحسين المخاطر بإدارة المتعلقة المعلومات. للمصلحه العامة واألهداف للسياسات وفقا نتائج لتحقيق
ال ) نفذ• وتشغيل (ISMSتطبيقوتشغيل • . ISMSتنفيذ واإلجراءات والعمليات والضوابط السياسة،
ومراجعة ) تحقق • (ISMSمراقبةلسياسة • وفقا العملية أداء قياس يتم مطابقة كانت واذا تقييم
وإبالغ المعلومات امن ادارة لنظام العملية والخبرة واهدافللمراجعة إدارة إلى النتائج
ال ) صحح • وتطوير (ISMSصيانةالمراجعة • نتائج على وبناء والوقائية، التصحيحية اإلجراءات اتخاذ
من غيرها أو المعلومات امن ادارة نظام ومراجعة الداخليةلل المستمر التحسين لتحقيق الصلة، ذات . ISMSالمعلومات
PDCA نموذج
89
ISMS Implementation Programme
• Implement the risk treatment plan in order to achieve the identified control objectives, which includes consideration of funding and allocation of roles and responsibilities.
• Implement controls selected during establishing the ISMS to meet the control objectives.
• Define how to measure the effectiveness of controls to allows managers and staff to determine how well controls achieve planned control objectives.
• Implement training and awareness programmes.
5/14/2014
ISMS تطبيق برنامج
التي • الرقابة أهداف تحقيق أجل من المخاطر من التعافي خطة تنفيذاألدوار وتوزيع التمويل في النظر يتضمن والذي تحديدها، تم
والمسؤوليات. إنشاء • أثناء المحددة الضوابط .ISMSتنفيذ السيطرة أهداف لتحقيقلتحديد • والموظفين للمديرين لتتيح الضوابط فعالية قياس كيفية تحديد
. المخططة الرقابة أهداف تحقق التي الضوابط ماهيوتدريب • توعوية برامج تطبيق
91
The ISMS Controls• It is important to be able to demonstrate the relationship from the
selected controls back to the results of the risk assessment and risk treatment process, and subsequently back to the ISMS policy and objectives.
• The ISMS documentation should include:
• Documented statements of the ISMS policy and objectives;• The scope of the ISMS;• Procedures and controls in support of the ISMS;• A description of the risk assessment methodology;• The risk assessment report;• The risk treatment plan;• Documented procedures needed by the organization to ensure the
effective planning, operation and control of its information security processes and describe how to measure the effectiveness of controls;
• Records required by the Standard;• The Statement of Applicability.
5/14/2014
ISMS المعلومات امن ادارة نظام
التحكم • عناصر من العالقة إثبات على قادرة تكون أن المهم منذلك وبعد للخطر، العالج وعملية المخاطر تقييم نتائج إلى المحددة
واهداف سياسات إلى . ISMSيعودوثائق • تتضمن أن : ISMSوينبغي
وأهداف • لسياسة الموثقة ؛ISMSالبياناتال • عمل ISMSنطاقلدعم • والضوابط ؛ISMSاإلجراءاتالمخاطر؛ • تقييم لمنهجية وصفالمخاطر؛ • تقييم تقريرالمخاطر؛ • من التعافي خطةالفعال • التخطيط لضمان المصلحه قبل من الالزمة اإلجراءات توثيق
فعالية قياس كيفية ووصف المعلومات، وأمن العمليات ومراقبة وتشغيلالضوابط؛
المعايير؛ • بواسطة المطلوبة السجالت• . التطبيق إمكانية بيان
ISO 27001 General Clauses4 Information security management system
4.1 General requirements
4.2 Establishing and managing the ISMS
4.2.1 Establish the ISMS
4.2.2 Implement and operate the ISMS
4.2.3 Monitor and review the ISMS
4.2.4 Maintain and improve the ISMS
4.3 Documentation requirements
4.3.1 General
4.3.2 Control of documents
4.3.3 Control of records
5 Management responsibility
5.1 Management commitment
5.2 Resource management
5.2.1 Provision of resources
5.2.2 Training, awareness and competence
8 ISMS improvement
8.1 Continual improvement
8.2 Corrective action
8.3 Preventive action
6 Internal ISMS audits
7 Management review of the ISMS
7.1 General
7.2 Review input
7.3 Review output
لأليزو العامة 27001البنوداألمن 4 إدارة نظام معلومات
العامة 4.1 المتطلبات
المعلومات 4.2 امن ادارة نظام وإدارة إنشاء
ISMSتأسيس 4.2.1
وتشغيل 4.2.2 ISMSتنفيذ
ومراجعة 4.2.3 ISMSمراقبة
وتحسين 4.2.4 ISMSصيانة
التوثيق 4.3 متطلبات
عامة 4.3.1
الوثائق 4.3.2 في التحكم
السجالت 4.3.3 في التحكم
اإلدارة 5 مسؤولية
اإلدارة 5.1 التزام
الموارد 5.2 إدارة
الموارد 5.2.1 توفير
والكفاءة 5.2.2 والتوعية التدريب
ISMSتحسين 8
المستمر 8.1 التحسين
التصحيحية 8.2 اإلجراءات
الوقائي 8.3 العمل
الحسابات 6 مراجعة ISMSالداخلية
لل 7 اإلداري ISMSاالستعراض
العامة 7.1
مراجعة 7.2 مدخالت
االستعراضي 7.3 اإلخراج
ISO 27001 Annex A (normative)
A.5Information
Security Policy
A.8Human resource
Security
A.7Asset Management
A.11Access Control
A.12Systems Acquisition,
Development & Maintenance
A.13Security Incident
Management
A.14Business Continuity
Management
A.6Organization of
informationSecurity
A.9Physical & Environment
Security
A.10Communication and
OperationsManagement
A.15Compliance
(27001ايزو المعيارية ) أ المرفق
5/14/2014
A.5المعلومات أمن سياسة
A.8البشرية الموارد أمن
A.7األصول إدارة
A.11الوصول في التحكم
A.12تطويرها نظم، اقتناء
وصيانتها
A.13الحوادث إدارة
األمنية
A.14استمرارية إدارة
األعمال
A.6المعلومات أمن تنظيم
A.9المادي األمن
والبيئي
A.10وإدارة االتصاالت
العمليات
A.15 االمتثال
ISO 27001 Annex A (normative)A.5 Security policy (1/2)
A.6 Organization of information security (2/11)
A.7 Asset management (2/5)
A.8 Human resources security (3/9)
A.9 Physical and environmental security (2/13)
A.10 Communications and operations management (10/32)
A.11 Access control (7/25)
A.12 Information systems acquisition, development and maintenance (6/16)
A.13 Information security incident management (2/5)
A.14 Business continuity management (1/5)
A.15 Compliance (3/10)
Total
39 control objectives
133 controls
(27001ايزو المعيارية ) أ الملحق
A.5 Security policy (1/2)
A.6 Organization of information security (2/11)
A.7 Asset management (2/5)
A.8 Human resources security (3/9)
A.9 Physical and environmental security (2/13)
A.10 Communications and operations management (10/32)
A.11 Access control (7/25)
A.12 Information systems acquisition, development and maintenance (6/16)
A.13 Information security incident management (2/5)
A.14 Business continuity management (1/5)
A.15 Compliance (3/10)
5/14/2014
المجموع
39l كونترول موضوع
كونترول 133
1. Security Policy
• Security Policy
Single Policy for Entire Organisation & manage- mental Commitment
Objectives
Achieve High level of confidentiality , Data integrity and Protection
Commitment
Acceptable ‘ USE’ Policy for Employees, Users and Management
Scope
األمن. 1 سياسة
األمن • سياسة
5/14/2014
للمصلحه واحدة سياسةجميع وإدارة بأكملها
االلتزامات
االهداف
من عال مستوى تحقيقالبيانات وسالمة السرية
وحمايتها
االلتزام
المقبول االستخدام سياسةوالمستخدمين للموظفين
واإلدارة
العمل نطاق
2. Organization of Information Security
Security Organisation
Assignments of roles according to the area of Professional Practice
Leadership
Chief Information Security Officer (CISO)Security Group Leader(s)
Security Teams
Incident Response TeamChange Control TeamDisaster Recovery Team
Responsibilities
المعلومات. 2 أمن تنظيم
األمن تنظيم
5/14/2014
لمجال وفقا األدوار تعييناتالمهنية الممارسة
القيادة
ألمن التنفيذي الرئيس( CISOالمعلومات )
األمنية المجموعة رئيس
األمن فرق
للحوادث االستجابة فريقالتغيير مراقبة فريق
الكوارث ا فريق من لتعافي
المسؤوليات
مثال
3. Asset Management
Asset Classification & Control
Electronic Tags on all Assets, Barcodes and Database management
Inventory Assignment of Assets controller, Custodianship of assets under use.
Protection
Assets location, ownership and regular inventory audit internally, externally
Ownership
األصول. 3 إدارة
والتحكم األصول تصنيف
5/14/2014
على اإللكترونية البطاقاتشريط الموجودات، جميع
قواعد وإدارة ا الرموزالبيانات
الجردو األصول مراقب تعيين
التي األصول حراسةتستخدم
الحماية
وملكيتها، األصول موقعوالتدقيق العادية المخزونات
خارجيا داخليا،
الملكية
امثلة
Assets Protection
األصول حماية
5/14/2014
4. Human Resource Security
HR Security
Security assignment as add- on role for all employees
Job descriptions Police clearance for personal character check before hiring employees
Security training
Handing over security policy, awareness training & type of response reporting
Recruitment screening
البشرية. 4 الموارد األمن
البشرية الموارد امن
5/14/2014
مهام الى مضافة االمن مهمةالموظفين جميع
الوظائف وصفعلى المتقدمين تاريخ فحص
االمنية الجهات من الوظائفتوظيفهم قبل
األمني التدريب
األمنية، السياسات تسليمواالستجابة والتوعية والتدريب
للبالغات
التوظيف فحص
مثال
الموارد األمن أرشيفالبشرية
5/14/2014
5. Physical & environmental Security
Physical & environmental Security
Setting up the Levels of Access ,classifying area of operations in groups
Access control Biometric appliances, Security Guards, Proximity card and Visitor Badges
Surveillance
Centrally Controlled Surveillance Cameras CTVs
Authorisation
والبيئي. 5 المادي األمن
والبيئي المادي األمن
5/14/2014
الدخول مستويات إعدادالعمليات منطقة وتصنيف
مجموعات الى
الوصول في التحكمحراس البصمة، أجهزةالدخول بطاقة األمن،الزوار بطاقات و االلكترونية
مراقبة
بكاميرات مركزيا التحكمCCTVSالمراقبة
الترخيص
امثلة
6. Communication and operations Management
Procedures that answer!!! “What to do when the incident occurs?”
Operating procedures
Separation of duties in the tasks of employees “ Who does what”
Capacity planning
Regular monitoring on systems resources and bandwidth in use
Assignment of tasks
Communication and operations Management
وعمليات. 6 االتصاالت إدارة
5/14/2014
" ! ماذا تجيب التي اإلجراءات" الحادث؟ حدوث عند تفعل
التشغيل مهام إجراءات و الواجبات بين الفصل" ماذا " يفعل من الموظفين
التخطيط على القدرة
موارد على المنتظم الرصدالنطاق وعرض النظم
االستخدام في الترددي
المهام توزيع
العمليات إدارة و االتصاالت
مثال
Hardware Performance Monitoring
األداء مراقبة أجهزة
5/14/2014
7. Access Control
Password management, token of access and single sign in through LDAP
Restricts users access to certain network services and setting up users privileges
Accounting
Maintaining record of connection time, Number of transfer and duration
Authorisation
Access Control
Authentication
الوصول .7 في التحكم
5/14/2014
ورمز المرور، كلمة إدارةمن واحدة وعالمة الدخول
LDAPخالل
إلى المستخدمين وصول يقيدووضع معينة شبكة خدمات
للمستخدمين امتيازات
المحاسبة
وقت سجل على الحفاظومدتها التنقالت عدد االتصال،
الترخيص
الوصول في التحكم
المصادقة
8. Information Systems acquisition Development and Maintenance
Network based IDS Host based IDSData integrity checker
State full packet filtering Content filtering and proxing NATing & Routing
Deputing security guards,duress alarms , biometrics & laser lights
Fire walls
System development and maintenance
Intrusion detection system
Physical security
والصيانة .8 التنمية اقتناء المعلومات نظم
5/14/2014
IDS الشبكة في المؤسسIDS الهوست في المؤسس
البيانات سالمة مدقق
للحزم كاملة تصفيةو للمحتوى proxingو
NATing والتوجيه
وأجهزة امن، حراس جلبالحيوية والقياسات اإلنذار،
الليزر وأضواء
النارية الجدران
وصيانته النظام تطوير
التسلل كشف نظام
المادي األمن
مثال
9. Information Security Incident Management
Incident Reporting FormatIncident LoggingIncident Escalation Procedure
Incident Response TeamIncident HandlingRoot Causes
Addressing Reported Incident Lesson Learnt
Investigation
Incident Management
Incident Reporting
Redresses of Incident
أمن .9 حوادث إدارةالمعلومات
5/14/2014
الحوادث عن البالغات تنسيقالحادث تسجيلالحادث تصعيد إجراءات
للحوادث االستجابة فريقالحادث معالجةالجذرية األسباب
عنها المبلغ الحوادث معالجةمنها المستفادة والدروس
تحقيق
الحوادث إدارة
الحوادث عن اإلبالغ
الحوادث ادراك مثال
10. Business continuity
management Studies of natural disasters e.g. . Lighting,flood,and terrorism,bomb threats etc.
Risk assessment Incident response planning, emergency fallback and resumption procedures
Execution & recovery
Using remote DRP site Restoring operations and recovering data from backups media
Planning
Business continuity management
األعمال .10 استمرارية إدارة
5/14/2014
مثل . الطبيعية الكوارث دراساتواإلرهاب، والفيضانات، اإلضاءة،
الخ والتهديدات
المخاطر االستجابة تقييم تخطيط إجراءاتحاالت تراجع للحوادث،
واستئنافها الطوارئ
واالنتعاش التنفيذ
باستخدام بعد عن
واستعادة العمليات استعادةاالحتياطية النسخ من البيانات
تخطيط
األعمال استمرارية إدارة
مثال
Elements of disasters
الكوارث عناصر
5/14/2014
11. Compliance
All procedures ,processes should be based on “best method practices” and checked by a professional body
Pre-audit
A third party independent auditor can check &endorse the compliance. e.g. BSI Auditors ,ISO Auditors
Maintenance
Audit at regular interval e.g yearly to maintain the compliance requirement
External-audit
Compliance
االمتثال .11
5/14/2014
تستند أن ينبغي اإلجراءات، جميعأفضل " طريقة عمليات على
هيئة " قبل من وفحصها الممارساتمهنية
التدقيق قبل ثالث Aما كطرف مستقل مدققعلى ويدقق يتحقق أن يمكن . على المصلحة في االمتثالية
المثال ISOمدققي، BSIسبيلومدققي
الصيانة
منتظمة فترات على المراجعةمتطلبات على للحفاظ سنويا
االمتثالية
الخارجي التدقيق
االمتثال
مثال
133
Compliance Review andCorrective Actions
• Management shall review the organization’s ISMS at planned intervals (at least once a year) to ensure its continuing suitability, adequacy and effectiveness.
• This review shall include assessing opportunities for improvement and the need for changes to the ISMS, including the information security policy and information security objectives.
• The results of the reviews shall be clearly documented and records shall be maintained.
• This is carried out during the ‘Check’ phase of the PDCA cycle and any corrective actions managed accordingly.
5/14/2014
الصحية واالجراءات االمتثال مراجعة
على • المصلحه في المعلومات امن ادارة نظام تراجع ان يجب االدارة ) لضمان ) األقل على السنة في واحدة مرة لها المخطط فترات
. وفعاليتها وكفايتها مالءمتها، استمرارية
امن • ادارة نظام تحسين فرص تقييم االستعراض هذا ويشملذلك في بما ، فيها تغييرات إلجراء حاجة هناك كان واذا المعلومات
. المعلومات أمن وأهداف المعلومات أمن سياسة
المحافظة . • ويجب واضح بشكل موثقة تكون أن يجب المراجعة نتائجالسجالت . على
• ' دورة ' من التحقق مرحلة خالل من ذلك إجراءات PDCAويتم وأية . لذلك وفقا إلدارتها تصحيحية
135
Pre-Certification Assessment
• Prior to the external audit the information security adviser should carry out a comprehensive review of the ISMS and SOA.
• No audit can take place until sufficient time has passed for the organization to demonstrate compliance with both the full PDCA cycle and with clause 8 of ISO 27001, the requirement for continual improvement.
• Auditors will be looking for evidence that the ISMS is continuing to improve, not merely that it has been implemented.
5/14/2014
الشهادة قبل ما تقييم
إجراء • المعلومات أمن مستشار على ينبغي الخارجية المراجعة قبللل شامل .SOAوال ISMSاستعراض
إلثبات • الكافي وقتها المصلحه تأخذ حتى المراجعة تتم أن يمكن الدورة كل مع والبند PDCAالتطابق ومتطلب ISO 27001من 8الكامل ،
. المستمر للتحسين
أن • على أدلة عن سيبحثون التحسن، ISMSالمدققون في مستمرة . تنفيذه تم قد أنه فقط وليس
137
Certification Audit
Certification involves the assessment of an organization’s ISMS. ISMS certification ensures that the organization has undertaken a risk assessment and has identified and implemented a system of management controls appropriate to the information security needs of the business.
Evidence that an organization is conforming to the Standard, and any supplementary documentation, will be presented in the form of a certification document or certificate.
Certification bodies shall need to ensure itself that the organization’s information security risk assessment properly reflects its business activities and extends to the boundaries and interfaces of its activities as defined in the Standard.
Certification bodies should confirm that this is reflected in the organization’s risk treatment plan and its Statement of Applicability.
5/14/2014
التدقيق شهادة
المعلومات امن ادارة نظام تقييم على تشتمل الشهادةالشهادة. و أجرت ISMSللمصلحه المصلحه أن تضمن
اإلدارية الضوابط من الية ونفذت وحددت للمخاطر تقييما. المصلحه في المعلومات أمن الحتياجات المناسبة
وثائق اية او للمعايير مطابقة غير منظمة أن على دليل. الشهادة أو التصديق وثيقة شكل في وستقدم إضافية،
أمن مخاطر تقييم ان لضمان تحتاج التصديق هيئاتوتمتد أنشطتها صحيح بشكل يعكس للمصلحه المعلومات. المعيار في المحدد النحو على أنشطتها واجهات حدود إلى
Informal / Option Pre-AssessmentPre-Assessment
Stage 1 Documentation ReviewStage 1 Documentation Review
Stage 2 Onsite AuditStage 2 Onsite Audit
AwardAward
Combine or Joint Audit
Surveillance (V2)Surveillance (V2)
Surveillance (V3)Surveillance (V3)
Surveillance (V4)Surveillance (V4)Surveillance (V5)Surveillance (V5)
Surveillance (V6)Surveillance (V6)
Renewal Close Out Close Out
RecommendMajor N/CMajor N/C
Gap Analysis
- Status of implementation- Option, not mandatory- Processes not fully covered- Duration by request
Gap Analysis
- Status of implementation- Option, not mandatory- Processes not fully covered- Duration by request
Audit Process Flow
Formal Requirement
Stage 1
- SOA
- Security Policy / Objectives
- Security Manual / SOPs
- Risk Assessment Report
- Treatment Plan
- Countermeasures
- Residual Risks
- BCM / BCPs
Stage 1
- SOA
- Security Policy / Objectives
- Security Manual / SOPs
- Risk Assessment Report
- Treatment Plan
- Countermeasures
- Residual Risks
- BCM / BCPs
Stage 2
- Full process & clauses
- Compliance of requirements
- Process approach
- Sample technique
- Evidence of operation of house rules
Stage 2
- Full process & clauses
- Compliance of requirements
- Process approach
- Sample technique
- Evidence of operation of house rules
Onsite Surveillances
- Prove continual effectiveness
- Combine or joint audit
Onsite Surveillances
- Prove continual effectiveness
- Combine or joint audit
Informal / Optionالتقييم قبل التقييم ما قبل ما
AwardAward
Combine or Joint Audit
Surveillance (V2)Surveillance (V2)
Surveillance (V3)Surveillance (V3)
Surveillance (V4)Surveillance (V4)Surveillance (V5)Surveillance (V5)
Surveillance (V6)Surveillance (V6)
Renewal Close Out Close Out
RecommendMajor N/CMajor N/C
Gap Analysis
- Status of implementation- Option, not mandatory- Processes not fully covered- Duration by request
Gap Analysis
- Status of implementation- Option, not mandatory- Processes not fully covered- Duration by request
Audit Process Flow
5/14/2014
Formal Requirement
Stage 1
- SOA
- Security Policy / Objectives
- Security Manual / SOPs
- Risk Assessment Report
- Treatment Plan
- Countermeasures
- Residual Risks
- BCM / BCPs
Stage 1
- SOA
- Security Policy / Objectives
- Security Manual / SOPs
- Risk Assessment Report
- Treatment Plan
- Countermeasures
- Residual Risks
- BCM / BCPs
Stage 2
- Full process & clauses
- Compliance of requirements
- Process approach
- Sample technique
- Evidence of operation of house rules
Stage 2
- Full process & clauses
- Compliance of requirements
- Process approach
- Sample technique
- Evidence of operation of house rules
الموقع في المراقبات
مستمرة- فعالية أثبتمشتركة- أو التدقيق بين الجمع
الموقع في المراقبات
مستمرة- فعالية أثبتمشتركة- أو التدقيق بين الجمع
الوثائق 1المرحلة استعراض
الموقع 2المرحلة في التدقيق
141
Continual Improvement
• The organization shall continually improve the effectiveness of the ISMS through the use of:
• The information security policy; • Information security objectives; • Audit results; • Analysis of monitored events; • Corrective and preventive actions; • Management review.
5/14/2014
التدقيق شهادة
امن • ادارة نظام فاعلية تحسين باستمرار المصلحه على يتعين: استخدام خالل من المعلومات
المعلومات • امن سياسةالمعلومات • امن اهدافالتدقيق • نتائجرصدها • تم التي االحداث تحليل
والوقائية؛ • التصحيحية اإلجراءاتاإلدارة • .مراجعة
143
• A - BS ISO/IEC 27001:2005 (ISO 27001) - Information technology - Security techniques - ISMS Requirements
• B - BS ISO/IEC 27002:2005 (ISO 27002) - Information technology - Security techniques - Code of practice for Information Security Management
• C - Alan Calder/Steve Watkins (2007) - IT Governance – A Manager’s Guide to Data Security and BS 7799/ ISO 17799 (3rd Edition) - Kogan Page Publishing
References
5/14/2014
• A - BS ISO/IEC 27001:2005 (ISO 27001) - Information technology - Security techniques - ISMS Requirements
• B - BS ISO/IEC 27002:2005 (ISO 27002) - Information technology - Security techniques - Code of practice for Information Security Management
• C - Alan Calder/Steve Watkins (2007) - IT Governance – A Manager’s Guide to Data Security and BS 7799/ ISO 17799 (3rd Edition) - Kogan Page Publishing
المراجع
Q & A
Thank You
األسئلة
لكم شكرا
top related