Recomendados
Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Destacado
Destacado (14)
Similar a ISMS Awareness IT Staff
Similar a ISMS Awareness IT Staff (20)
ISMS Awareness IT Staff
- 1. ISO 27001 Awareness Session By Saquib Farooq Malik, S e n i o r I n f o r m a t i o n S e c u r i t y C o n s u l t a n t
- 3. Project Objectives • Excellence in IT Operations • Business Continuity • Secure IT Systems 7/15/2014 3
- 4. المشروع اهداف •المعلومات تقنية تشغيل في التمييز •العمل استمرارية •المعلومات تقنية أنظمة تأمين 5/14/2014
- 5. Session objective • Awareness regarding ISO 27001 • Differentiating between a process based security management system and a list of security controls or remediation.
- 6. المحاضرة من الهدف •األيزو بخصوص التوعية27001 •التفريقوع األمنية الضوابط وقائمة المعلومات أمن إدارة نظام بينالجها 5/14/2014
- 7. What Is Information Security • The quality or state of being secure to be free from danger. • Security is achieved using several strategies simultaneously or used in combination with one another. • Security is recognized as essential to protect vital processes and the systems that provide those processes. • Information security means protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction. 7/15/2014 7
- 8. المعلومات امن هو ما •المخاطر من خالية تكون أي امنه الحالة ان معنى •تست او الوقت نفس في استراتيجيات عدة باستخدام يتحقق األمنفي خدم البعض بعضها مع مجموعة •ال تلك توفر التي والنظم الحيوية العمليات لحماية اساسي امر األمنعمليات •المعلومات امنالوصول من المعلومات ونظم المعلومات حماية تعني التغيير او اإلخالل او اإلفصاح او االستخدام او به المصرح غيراو التدمير. 5/14/2014
- 9. Information Security Triad… Required by any business that handles information Confidentiality • Where the access is restricted to a specific list of people. These could be company plans, secret manufacturing processes, formulas, etc. Integrity • Safeguarding the accuracy and completeness of information and processing methods. Availability • Ensuring that authorized users have access to information when they need it. 7/15/2014 9
- 10. •المعلومات ألمن األساسية المفاهيم… •السرية مخو غير اشخاص قبل من عليها يطلع وال تكشف ال المعلومات ان من التأكد وتعنيلين بذلك. •التكامل به العبث او تعديله يتم ولم صحيح المعلومات محتوى ان من التأكداوتغيرهفياية المعالجة مراحل من مرحلةسواءمرحلة فيالداخلي التعاملعن او المعلومات مع مشروع غير تدخل طريق •اإلتاحة التأكدمع التفاعل على القدرة واستمرار المعلوماتي النظام عمل استمرار من المعلوماتوانا دخوله او لها استخدامه منع الى يتعرض لن المعلومات مستخدمليها . •5/14/2014
- 11. ISMS Core Concepts Confidentiality Integrity Availability Authenticity Reliability Non-Repudiation Accountability
- 12. المعلومات امن إدارة لنظام االساسية المفاهيم 5/14/2014 السرية التكامل اإلتاحة الموثوقية االعتمادية االنكار عدم المسؤولية
- 13. Confidentiality Integrity Availability Information Conversation Document Data media Information systems Network Know-how Human faults Operational disruptions Software faults In-compatibility Leakage Power Failure Delivery problem Service disruption Notice to quit, sickness Loss of Key Personnel Fire, smoke Explosion Water damage Theft Destruction, Sabotage Vandalism Natural phenomena Virus Forgery Access Control Espionage Illegal copying Piracy copies Fraud Identification and Threats & Risks
- 14. السرية التكامل االتاحة المعلومات المحادثات المستندات البيانات نقل وسائل المعلومات انظمة الشبكة الخبرة ،البشرية االخطاء العمل وتعطل البرمجيات اخطاء التوافق عدم التسرب التيار انقطاع الكهربائي ، التوصيل مشاكل الخدمة وانقطاع المفاتيح فقدن ، المرض الحريق الناجمة االخطار المياه عن السرقة والتخريب الدمار الطبيعية الكوارث الفيروسات تزوير التحكم بالوصول التجسس ،المشروع غير النسخ القرصنة االحتيال والتهديدات المخاطر 5/14/2014
- 15. Information Security Concepts Components of Risk Proprietary 15 Threat Vulnerability+ RISK
- 16. المعلومات امن مفاهيم المخاطر عناصر 5/14/2014 التهديدات الضعف نقاط+ الخطر
- 17. ISO 27001 is all about risk!
- 18. 5/14/2014 ISO 27001 المخاطر عن شيء كل
- 19. Introduction ISO 27001 & ISMS ISO 27001 has been prepared to provide a model for: Establishing Implementing Operating Monitoring Reviewing Maintaining and improving a Risk based Information Security Management System (ISMS)
- 20. مقدمةلاليزو27001المعلومات امن إدارة ونظام 5/14/2014 ايزو إعداد تم27001لالتي نموذج لتقديم: التأسيس التطبيق التشغيل المراقبة المراجعة والصيانة المحافظة والتطوير المعلومات امن إدارة نظام(ISMS)
- 21. Published in TWO parts • ISO 27001:2005 Specification for Information Security Management Systems • ISO 17799:2005 (now ISO 27002) Code of Practice for Information Security Management
- 22. هما جزئيين في اصدرت: 5/14/2014 •ايزو27001:2005 المعلومات امن ادارة انظمة في مختصة •ايزو17799:2005(األن27002) المعلومات امن ادارة ممارسة قواعد
- 23. The benefits of certification are numerous and include: 1. Policies & procedures. 2. Assured continued due diligence. 3. Evaluations will be conducted by Certified Bodies. 4. Your ISMS will be audited to a internationally accepted criteria resulting in mutual recognition of the evaluation results Certifiable, Proven, Defensible, Cost-Effective, Recognition of Best Practices in information security 5. Assists organizational compliance with legal, regulatory, and statutory requirements. Why a standard?
- 24. منها بعض وسنذكر كثيره الشهادة هذه على الحصول فوائد: .1واالجراءات السياسات. .2الالزمة العناية الى الوصل من التأكد. .3معتمدة هيئات قبل من ستجرى التقييم عمليات. .4معايير وفق تدقيقه سيتم المعلومات امن ادارة نظاممما دوليا منسقةيؤديإلى لنتائج المتبادل االعترافوالدفاع ،التقييم،عنهاوفعاليتهاالتك حيث من،لفةالتعرف و أمن مجال في الممارسات أفضل علىالمعلومات. .5يساعدالمصلحهوالتشريع التنظيمية والمتطلبات للقوانين االمتثال علىية. المعيار هذا لماذا: 5/14/2014
- 25. Business Case for ISMS Study Shows - Most common source of data leaks*: Lost or stolen laptops, Personal Digital Assistants or memory sticks/thumb drives - 35% of all incidents studied Records lost by third-party business partners or outsourcing companies – 24% Misplaced or stolen back up file – 18% Lost or stolen paper records – 13% Usage of malware (spyware) programs - 10% *U.S. Companies that reported a breach. [Ponemon Data Breach Study – October 2007 (US)]
- 26. المعلومات امن ادارة بنظام متعلقة عامة حالة دراسة 5/14/2014 الدراسة تبين:البيانات تسريب في شيوعا االكثر االسباب ان: المحمولة األجهزة او ،توب الالب الحاسب سرقة او فقدانالذاكرة او بنسبة35% بنسبة المنظمات مع المتعاقدة الشركات قبل من السجالت فقدان24.% ضياعها او االحتياطية النسخ سرقة18.% ضياعها او الورقية السجالت سرقة13.% الضارة البرامج استخدام10.% *عهد بها قام الدراسة هذهبونيموناالمريكية المتحد الواليات في
- 27. Security Breaches • Information Security is “Organizational Problem” rather than “IT Problem”. • More than 80% of Threats are Internal. • More than 60% culprits are First Time fraudsters. • Biggest Risk : People. • Biggest Asset : People • Social Engineering is major threat. More than 2/3rd express their inability to determine “Whether my systems are currently compromised?” 7/15/2014 27
- 28. االمنية الخروقات •المعلومات تقنية في فقط محصورة وليست عام بشكل للمنظمة على المعلومات امن ضرر •80%المنظمة داخل من تكون التهديدات من. •60%الجناة قبل من مره ألول تحدث الحوادث من. •المخاطر اكبر:االشخاص. •االصول اكبر:االشخاص •التهديدات اكبر تعتبر االجتماعية الهندسة. خطر في األنظمة كانت اذا ما تحديد يستطيعون ال االشخاص ثلثي من اكثر 5/14/2014
- 29. Security breaches leads to • Reputation loss • Financial loss • Intellectual property loss • Legislative Breaches leading to legal actions (Cyber Law) • Loss of customer confidence • Business interruption costs 7/15/2014 29 LOSS OF GOODWILL
- 30. الخروقاتاألمنيةيؤديإلى •المنظمة سمعة فقدان •المالية الخسائر •الفكرية الملكية خسائر •قانونية اجراءات الى يؤدي مما التشريعية الخروقات •العميل ثقة فقدان •العمل تعطل تكاليف 5/14/2014 السمعة فقدان
- 32. المعلومات امن ادارة نظام دورة 5/14/2014
- 33. Where does it start ? Security Planning is a quantitative process which starts from Information Assets 'Information is an asset which, like other important business assets, has value to an organization and consequently needs to be suitably protected’ 7/15/2014 33
- 34. ك عملية هو االمني التخطيط تبدأ؟ اين منمية المعلومات اصول من تبدا والتي. هي المعلوماتاألصول أحدمثلمن غيرهاالتجارية األصول،الهامةله قيمةأن ويجب منظمة إلىمحمية تكونبشكلمناسب 5/14/2014
- 36. االصول تقييم
- 37. In order to determine risks faced by Information, we need to see, what happens to information in the work place ? • The three actors on information are • People • Processes • Technology
- 38. بحاجة نحن ،المعلومات تواجهها التي المخاطر تحديد اجل من العمل مكان في للمعلومات يحدث ماذا نرى ان إلى •هي للمعلومات الرئيسة اضالع الثالثة: •األشخاص •العمليات •التقنية
- 39. Information can be: • Created • Stored • Destroyed • Processed • Transmitted • Used – (For proper & improper purposes) • Corrupted • Lost 39 Actors • Stolen • Printed or written • Stored electronically • Transmitted by post or using electronics means • Shown on corporate videos • Displayed / published on web • Verbal – spoken in conversations
- 40. تكون قد المعلومات: •مؤلفة •مخزنة •متلفة •معالجة •منقولة •مستخدمة-(كانت سوآءا ألغراضغير او سليمة ذلك) •فاسدة •ضائعة 40 •مسروقة •مكتوبة او مطبوعة •الكترونيا مخزنة •او البريد طريق عن منقولةأي الكترونية وسيلة •طريق عن معروضهالفيديو •طريق عن وتنشر تعرضالويب •اللفظية–المحادثات طريق عن
- 41. People “Who we are” People who use or interact with the Information include: Share Holders / Owners. Management. Employees. Business Partners. Service providers. Contractors. Customers / Clients. Regulators etc… 7/15/2014 41
- 42. ( االشخاص(هم من ويشمل المعلومات مع ويتفاعلون يستخدمون الذين االشخاص: المساهمين/المالك االدارة الموظفين التجاريين الشركاء الخدمة مزودي المتعاقدين الزبائن/العمالء المنظمين..والخ 7/15/2014 42
- 43. Process “what we do” The processes refer to "work practices" or workflow. Processes are the repeatable steps to accomplish business objectives. Typical process in our IT Infrastructure could include: Helpdesk / Service management. Incident Reporting and Management. Change Requests process. Request fulfillment. Access management. Identity management. Service Level / Third-party Services Management. IT procurement process etc... 7/15/2014 43
- 44. العملية"به نقوم ما" إلى تشير العمليات"العمل ممارسات"العمل سير أو.والخطوات هيالمتكررةأه إلنجازداف العمل.أن ويمكنالبنية في النموذجية العملية تشتملالتحتيةالمعلومات لتقنيةاالتي على: الخدمات ادارة/المساعدة مركز عنها واالبالغ الحوادث ادارة التغيير طلبات طريقة االيفاء طلب الوصول ادارة الهوية ادارة الخدمة مستوى/الثالثة األطراف خدمات إدارة. الشراء عملية...الخ 5/14/2014
- 45. Technology “what we use to automate” • Automatic Logs • Reports • Outputs
- 46. التكنولوجيا(آلي لنجعله نستخدم ماذا) •االتوماتيكية السجالت •التقارير •المخرجات
- 47. Why documentation is required ISO-27001 Audit Criteria: An auditor audits the auditee against 3 mentioned criteria 1. Legal and Regulatory 2. ISO-27001:2005 Standard 3. Organizational Document 7/15/2014 47 Business advantage of documentation: The intellect, the skill and experience of the employees becomes the intellect, skill and experience of the organization e.g. Manual switch over of a server.
- 48. التوثيق الى نحتاج لماذا معايرالتدقيقايزو27001 المدققيقومبالتدقيقفيالجهةالخاضعةللتدقيقفيثالثمعايير: .1القانونيةوالتنظيمية .2معاييرايزو27001 .3الوثيقةالتنظيمية 5/14/2014 الفائدةالعمليةمنالتوثيق فكرومهارةوخبرةالموظفينتصبحفكرومهارةوخبرةللمصلحةعلىسبيل المثالالتبديلاليدويعلىالخادم.
- 51. Information Security Policy IS Policy is approved by Top Management and Policy is published in the organization 7/15/2014 51
- 52. المعلومات امن سياسة من عليها الموافقة يتم المعلومات امن سياسة السياسة تحرير يتم ثم ومن العليا االدارة قبل 5/14/2014
- 53. Control of Document • All documents have to be controlled. • The following information is essential to control a document: • Title • Type • Issue status and version • Page number & total number of pages • Approval authority • Issuing authority • Issue date • Document Code 7/15/2014 53
- 54. بالوثائق التحكم •السيطرة تحت تكون ان يجب الوثائق جميع. •الوثائق على للسيطرة مهمه التالية المعلومات: •العنوان •النوع •االصدار حالة •الصفحات ارقام ومجموع الصفحة رقم •الموافقة سلطة •االصدار سلطة •االصدار تاريخ •الوثيقة كود 5/14/2014
- 55. Procedures • Fixed, step-by-step sequence of activities or course of action with definite start and end points that must be followed in the same order to correctly perform a task. Repetitive procedures are called routines. • Procedure Documents: • Control Of Documents • Risk Assessment • Corrective & Preventive Action • Data Backup • Patch Management • Internal Audit 7/15/2014 55
- 56. االجراءات •،ثابتةسلسلةخطواتمناألنشطةأومسارالعملمعتحديدنقاطالبدايةوالنهايةالتييجباتباعها بالترتيبنفسهلتنفيذمهمةبشكلصحيح.ويطلقعلىاإلجراءاتالمتكررةالروتين •مستنداتاالجراءات: •بالوثائق التحكم •المخاطر تقييم •والوقائية التصحيحية االعمال •للبيانات االحتياطي النسخ •التصحيح ادارة •الداخلي التدقيق 5/14/2014
- 57. Standards • General: Written definition, limit, or rule, approved and monitored for compliance by an authoritative agency or professional or recognized body as a minimum acceptable benchmark. • Standards may be classified as • Government or statutory agency standards and specifications enforced by law, • Proprietary standards developed by a firm or organization and placed in public domain to encourage their widespread use, and Voluntary standards established by consultation and consensus and available for use by any person, organization, or industry. 7/15/2014 57 • Standard Document: – Access Control – Asset Management – Backup & Restoration – Data Transmission – Data Classification – Data Encryption – Data Handling – Employee Conduct – Event Logging – Firewall – Network Application – Network Security – Physical Security – Teleworking
- 58. المعايير بشكلعام:تعريفمكتوبومحدداو،قاعدهتكونمراقبة ومصدقةللتماثلمنقبلوكالةموثوقةاوهيئهمهنيةمعترف بهااوالحداالدنىالمقبولمنالمعيار. •المعاييرقدتقسمالى: •وكالة أو الحكومة معاييرقانونيةوالمواصفات االلزاميةالقانون بموجب، •منظمة أو شركة وضعتها التي الملكية معايير وضعت،واسع نطاق على استخدامها لتشجيع العام المجال في والتوافق بالتشاور وضعتها التي الطوعية والمعاييرواالتاحة لالستخدامأو ،منظمة أو شخص أي قبل منصناعة. 5/14/2014 •مستندالمعايير: –بالوصول التحكم –االصول ادارة –االحتياطي والنسخ الحفظ –البيانات نقل –البيانات تصنيف –البيانات تشفير –البيانات معالجة –الموظف سلوك –االحداث تسجيل –الناري الجدار –الشبكة تطبيق –الشبكة امن –المادي االمن –بعد عن العمل
- 59. Plan • Written account of intended future course of action scheme aimed at achieving specific goal(s) or objective(s) within a specific timeframe. It explains in detail what needs to be done, when, how, and by whom, and often includes best case, expected case, and worst case scenarios. • Plan Documents • Business Continuity Plan • Change Control Plan • Incident Response Plan • Internal Audit Plan • Security Awareness Plan • Vendor Implementation Plan • Vulnerability Assessment 7/15/2014 59
- 60. الخطة •المسارالمستقبليالمقصودمنخطةالعملالراميةإلىتحقيقهدفمعينأوغايةفيغضونفترةزمنيةمحددة. وهذامايفسربالتفصيلمايجبالقيام،به،ومتى،وكيفوعلىيد،منويتضمنأفضل،حالةوالحالة،المتوقعة وأسوأالسيناريوهاتفيكثيرمناألحيان. •مستنداتالخطة •العمل استمرارية خطة •Change Control Plan •للحوادث االستجابة خطة •الداخلي التقييم خطة •االمنية التوعية خطة •البائع تطبيق خطة •الضعف نقاط تقييم 5/14/2014
- 61. Guideline • Intended to answer specific questions. • Contain information on questions concerning the directive. • intended to provide orientation and help to meet the requirements of the directive. • Draft Guidelines are developed by the Professional draftsmen and subjected to internal comment and review by other experts. • Guideline documents: • Access Control Guideline • Data Protection Guideline • Email Security Guideline • Password Control Guideline • Routing Guideline • Security Guideline • WLAN Guideline 7/15/2014 61
- 62. االرشادات •تهدفالىاالجابةعناسئلةمحدده •تحتويعلىمعلوماتبشأنالمسائلالمتعلقةبالتوجيه •تهدفالىتقديمالتوجيهوالمساعدةلتلبيةمتطلباتالتوجيهات •يتمتطويرمشروعالمبادئالتوجيهيةمنقبلواضعيالنصوصوتعرضللمناقشة والمراجعةالداخليةمنقبلخبراءاخرين •اإلرشادات مستندات •بالوصول التحكم ارشادات •البيانات حماية ارشادات •االلكتروني البريد امن ارشادات •المرور بكلمة التحكم ارشادات •التوجيه ارشادات •االمن ارشادات •الالسلكية الداخلية الشبكة استخدام ارشادات 5/14/2014
- 63. Operational Forms • Operational forms are set of procedures and permission need to be filled up at the event of and any non-recommended action. 7/15/2014 63
- 65. Records (Evidences) • The organisation needs to maintain records to provide evidence of conformities to requirements and to determine the effectiveness of ISMS. • Should be simple and legible. • Should be used for the continual improvement of ISMS. • Should be organized and manageable. • Should be maintained in any form. 7/15/2014 65
- 66. سجالت(األدلة) •على يجبالمصلحهعلى أدلة لتقديم بسجالت االحتفاظللمتط مطابقتهالباتوتحديد فعاليةالمعلومات امن ادارة نظام. •القراءة وسهلة بسيطة تكون أن ينبغي. •المستمر لتحسين تستخدم أن وينبغيالمعلومات امن ادارة لنظام. •بها التحكم سهل و منظمة تكون ان وينبغي. •الحفاظ ينبغيبأي عليهااألشكال من شكل. 5/14/2014
- 67. Effective Documentation Clear Concise User friendly Use short sentences starting with a verb Avoid using the passive voice. Make it clear who is performing the task Use white space for easy reading Precise and as much as needed Work instructions written for virtually everything No overlap and repetition 7/15/2014 67
- 68. الفعال التوثيق واضح مختصر المعاملة حسن قصيرة جمل استخدامبفعل تبدأ للمجهول المبني صيغة استخدام تجنب.الذي من توضح ان يجبب يقومتنفيذ المهمة لتسهيل البيضاء المساحة استخدامالقراءة وبقدر دقيقةالحاجة شيء كل على مكتوبة العمل تعليماتتقريبا يوجد الوالتكرار تداخل 5/14/2014
- 69. Education regarding organizational documentation strengthens the Human Wall. Human wall is always better than a firewall. 7/15/2014 69 Information Security is EVERYONE’s responsibility.
- 70. جدار من افضل هو دائما البشري الجدار الحماية يقوي التنظيمية الوثائق بشأن التعليمالبشري الجدار. 5/14/2014 مسؤولية المعلومات امنالجميع
- 71. ISO 27001 - Roadmap 71
- 73. 73 ISO 27001 - Scope ISO 27001 provides a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. The ISO 27001 Standard can be used in order to assess conformance by interested internal and external parties.
- 74. 5/14/2014 ايزو27001–العمل نطاق ايزو27001يقدموت وصيانة ومراجعة ومراقبة وتشغيل وتنفيذ إلنشاء نموذجاحسين المعلومات أمن إدارة نظام(ISMS.) اعتمادالمعلومات امن ادارة نظامللمؤسسة استراتيجيا قرارا يكون أن ينبغي.ويتأثر تصميمفي وتنفيذهالمصلحهاأل والمتطلبات واألهداف االحتياجات خالل من،منية والعملياتوحجم المستخدمةوهيكلةالمصلحه. منتتغير أن المتوقعوهذهالداعمة األنظمةمع لهاالوقت مرور.ي أن المتوقع ومنتم تنفيذ تحجيمISMSالحتياجات وفقاالمصلحه،ت بسيطة حالة المثال سبيل علىتطلب خاللISMS. ايزو و27001يمكن معيارمن استخدامهاألطراف قبل من المطابقة تقييم أجل المهتمة والخارجية الداخلية.
- 75. 75 Management Support • Management should actively support security within the organization through clear direction, demonstrated commitment, explicit assignment, and acknowledgment of information security responsibilities. • Management should approve the information security policy, assign security roles and co-ordinate and review the implementation of security across the organization.
- 76. 5/14/2014 االدارة دعم •داخل األمن إدارة بنشاط تدعم أن يجبالمصلحهاتجاه خالل منو ،واضح والتزام ،مبينه مهمةالمعلومات أمن مسؤوليات واالعتراف. •وتنس األمنية األدوار وإسناد ،المعلومات أمن سياسة على الموافقة لإلدارة ينبغييق أنحاء جميع في األمن تنفيذ واستعراضالمصلحه.
- 77. 77 Inventory of Assets • All assets should be clearly identified and an inventory of all important assets drawn up and maintained. • The asset inventory should include all information necessary in order to recover from a disaster, namely: • Type of asset; • Format (i.e. Information, software, physical, services, people, intangibles) • Location; • Backup information; • License information; • Business value.
- 78. 5/14/2014 االصول جرد •علي والمحافظة الهامة االصول جميع وحصر بوضوح تحدد ان يجب االصول جميعها. •الكوارث من التعافي اجل من الالزمة المعلومات جميع االصول تشمل ان ينبغي: •االصول نوع •شكل(أيالمعلوماتوالبرمجيات ،،والماديات ،والخدماتغير واالصول ،واالشخاصالملموسة) •الموقع •االحتياطي النسخ معلومات •المرخصة المعلومات •العمل قيمة
- 79. 79 Risk Assessment • Risk assessments should identify, quantify, and prioritize risks against criteria for risk acceptance and objectives relevant to the organization. • The results should guide and determine the appropriate management action and priorities for managing information security risks and for implementing controls selected to protect against these risks. • The process of assessing risks and selecting controls may need to be performed a number of times to cover different parts of the organization or individual information systems. • Risk assessment should include the systematic approach of estimating the magnitude of risks (risk analysis) and the process of comparing the estimated risks against risk criteria to determine the significance of the risks (risk evaluation). • The information security risk assessment should have a clearly defined scope in order to be effective and should include relationships with risk assessments in other areas, if appropriate.
- 80. 5/14/2014 المخاطر تقييم •تقييمالمخاطرأولويات يقيس و يحدد ان يجبالمخاطروفقمعاييرال المخاطرمقبولة الصلة ذات واألهدافللمصلحه. •وتحدد توجه ان يجب النتائجأولوياتأمن مخاطر إدارة اولوية وتحدد االدارة عمل المعلوماتوتطبيقهذه من للحماية المحددة الضوابطالمخاطر. •قدع بها القيام يتعين التي الضوابط وتحديد المخاطر تقييم عملية تحتاجلتغطية مرات دة من مختلفة أجزاءالمصلحهالفردية المعلومات نظم أو. •المخاطر حجم لتقدير منظم نهج مخاطر تقييم تشمل أن وينبغي(المخاط تحليلر)وعملية هذه مقارنةلتحديد المخاطر لمعايير وفقا المقدرة المخاطرأهميتها(تقييمالمخاطر.) •تقييم يكون أن يجبمخاطرالمعلومات أمنفينطاقواضحتك أن أجل من المعالمون تشمل أن وينبغي فعالةعالقاتذل كان إذا ،أخرى مجاالت في المخاطر تقييم معك مناسبا.
- 81. 81 Conduct Risk Assessment and Prepare Risk Treatment Plan • The organisation should formulate a risk treatment plan (RTP) that identifies the appropriate management action, resources, responsibilities and priorities for managing information security risks. • The RTP should be set within the context of the organization's information security policy and should clearly identify the approach to risk and the criteria for accepting risk. • The RTP is the key document that links all four phases of the Plan, Do, Check, Act (PDCA) cycle for the ISMS.
- 82. 5/14/2014 خطة وإعداد المخاطر تقييم إجراءمنها؟ التعافي •ينبغيللمصلحهخطة وضعمن للتعافيالمخاطرRTPتحدد الذي،اإلدارية اإلجراءات إلدارة المناسبة واألولويات والمسؤوليات والمواردمخاطرالمعلومات أمن. •وRTPالمعلومات أمن سياسة سياق في تعيين يجبللمصلحهتحد أن وينبغيبوضوح د قبول ومعايير للمخاطرة النهجالمخاطر. •RTPهياألربع المراحل جميع تربط التي الرئيسية الوثيقة(خطط-نفذ–تحقق– صحح)(PDCA)دورةلISMS
- 83. 83 Prepare Statement of Applicability • A Statement of Applicability (SOA) is a document that lists an organization’s information security control objectives and controls. • The SOA is derived from the results of the risk assessment, where: • Risk treatments have been selected; • All relevant legal and regulatory requirements have been identified; Contractual obligations are fully understood; • A review the organization’s own business needs and requirements has been carried out.
- 84. 5/14/2014 التطبيق قابلية بيان اعداد •بيانالتطبيق قابلية(SOA)الرقابة أهداف تسرد وثيقة هوألمنالمؤسس في المعلوماتة والضوابط. •من مشتق وهو،المخاطر تقييم نتائجحيث: •الخطر معالجة اختيار يتم; •والتن القانونية المتطلبات جميع تحديد تم وقدظيمية التعاقدي االلتزامات تماما المفهوم ومن الصلة؛ ذاتة؛ •الخاصة العمل احتياجات استعراض أجري وقد للمصلحهالمتطلبات تنفيذ و.
- 85. 85 PDCA Model • The "Plan-Do-Check-Act" (PDCA) model is applied to structure all ISMS processes. • The diagram illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces managed information security outcomes that meets those requirements and expectations.
- 86. 5/14/2014 PDCA نموذج •ال نموذجPDCLوهو(خطط-نفذ–تحقق–صحح) المعلومات امن ادارة نظام عمليات لجميع هيكلة لتطبيق. •كيف التخطيطي الرسم يوضحISMSمتطلبات يأخذأمن األطراف وتوقعات المعلوماتو كمدخالت المعنيةمنخالل أمن مخرجات عنها ينتج الزمة وعمليات اجراءاتالمعلومات والتوقعات المتطلبات تلك تلبي التي المدارة.
- 87. 87 • Plan (establish the ISMS) • Establish ISMS policy, objectives, processes and procedures relevant to managing risk and improving information security to deliver results in accordance with an organization’s overall policies and objectives. • Do (implement and operate the ISMS) • Implement and operate the ISMS policy, controls, processes and procedures. • Check (monitor and review the ISMS) • Assess and, where applicable, measure process performance against ISMS policy, objectives and practical experience and report the results to management for review. • Act (maintain and improve the ISMS) • Take corrective and preventive actions, based on the results of the internal ISMS audit and management review or other relevant information, to achieve continual improvement of the ISMS. PDCA Model
- 88. 5/14/2014 •خطط(نظام تأسيسISMS) •إنشاءالمتعلقة المعلومات امن ادارة نظام وإجراءات وعمليات وأهداف سياسة بإدارةللسياسات وفقا نتائج لتحقيق المعلومات أمن وتحسين المخاطرواألهداف العامةللمصلحه. •نفذ(ال وتشغيل تطبيقISMS) •وتشغيل تنفيذISMSواإلجراءات والعمليات والضوابط ،السياسة. •تحقق(ومراجعة مراقبةISMS) •تقييمقياس يتم مطابقة كانت واذاأداءواهداف لسياسة وفقا العمليةوالخبرة المعلومات امن ادارة لنظام العمليةإدارة إلى النتائج وإبالغللمراجعة •صحح(ال وتطوير صيانةISMS) •الداخ المراجعة نتائج على وبناء ،والوقائية التصحيحية اإلجراءات اتخاذلية ومراجعةأو المعلومات امن ادارة نظام،الصلة ذات المعلومات من غيرها المستمر التحسين لتحقيقللISMS. PDCA نموذج
- 89. 89 ISMS Implementation Programme • Implement the risk treatment plan in order to achieve the identified control objectives, which includes consideration of funding and allocation of roles and responsibilities. • Implement controls selected during establishing the ISMS to meet the control objectives. • Define how to measure the effectiveness of controls to allows managers and staff to determine how well controls achieve planned control objectives. • Implement training and awareness programmes.
- 90. 5/14/2014 ISMS تطبيق برنامج •خطة تنفيذمن التعافيتحديده تم التي الرقابة أهداف تحقيق أجل من المخاطروالذي ،ا والمسؤوليات األدوار وتوزيع التمويل في النظر يتضمن. •إنشاء أثناء المحددة الضوابط تنفيذISMSالسيطرة أهداف لتحقيق. •لتحدي والموظفين للمديرين لتتيح الضوابط فعالية قياس كيفية تحديددماهيالضوابط تحقق التيالمخططة الرقابة أهداف. •وتدريب توعوية برامج تطبيق
- 91. 91 The ISMS Controls • It is important to be able to demonstrate the relationship from the selected controls back to the results of the risk assessment and risk treatment process, and subsequently back to the ISMS policy and objectives. • The ISMS documentation should include: • Documented statements of the ISMS policy and objectives; • The scope of the ISMS; • Procedures and controls in support of the ISMS; • A description of the risk assessment methodology; • The risk assessment report; • The risk treatment plan; • Documented procedures needed by the organization to ensure the effective planning, operation and control of its information security processes and describe how to measure the effectiveness of controls; • Records required by the Standard; • The Statement of Applicability.
- 92. 5/14/2014 ISMS نظامالمعلومات امن ادارة •نتائج إلى المحددة التحكم عناصر من العالقة إثبات على قادرة تكون أن المهم منتقييم إلى يعود ذلك وبعد ،للخطر العالج وعملية المخاطرواهداف سياساتISMS. •وثائق تتضمن أن وينبغيISMS: •الموثقة البياناتلسياسةوأهدافISMS؛ •ال عمل نطاقISMS •لدعم والضوابط اإلجراءاتISMS؛ •المخاطر تقييم لمنهجية وصف؛ •المخاطر تقييم تقرير؛ •خطةمن التعافيالمخاطر؛ •قبل من الالزمة اإلجراءات توثيقالمصلحهومراق وتشغيل الفعال التخطيط لضمانبة الضوابط فعالية قياس كيفية ووصف ،المعلومات وأمن العمليات؛ •المطلوبة السجالتالمعايير؛ بواسطة •التطبيق إمكانية بيان.
- 93. ISO 27001 General Clauses 4 Information security management system 4.1 General requirements 4.2 Establishing and managing the ISMS 4.2.1 Establish the ISMS 4.2.2 Implement and operate the ISMS 4.2.3 Monitor and review the ISMS 4.2.4 Maintain and improve the ISMS 4.3 Documentation requirements 4.3.1 General 4.3.2 Control of documents 4.3.3 Control of records 5 Management responsibility 5.1 Management commitment 5.2 Resource management 5.2.1 Provision of resources 5.2.2 Training, awareness and competence 8 ISMS improvement 8.1 Continual improvement 8.2 Corrective action 8.3 Preventive action 6 Internal ISMS audits 7 Management review of the ISMS 7.1 General 7.2 Review input 7.3 Review output
- 94. لأليزو العامة البنود27001 4األمن إدارة نظام معلومات 4.1العامة المتطلبات 4.2المعلومات امن ادارة نظام وإدارة إنشاء 4.2.1تأسيسISMS 4.2.2وتشغيل تنفيذISMS 4.2.3ومراجعة مراقبةISMS 4.2.4وتحسين صيانةISMS 4.3التوثيق متطلبات 4.3.1عامة 4.3.2الوثائق في التحكم 4.3.3السجالت في التحكم 5اإلدارة مسؤولية 5.1اإلدارة التزام 5.2الموارد إدارة 5.2.1الموارد توفير 5.2.2والكفاءة والتوعية التدريب 8تحسينISMS 8.1المستمر التحسين 8.2التصحيحية اإلجراءات 8.3الوقائي العمل 6الحسابات مراجعة الداخليةISMS 7اإلداري االستعراضللISMS 7.1العامة 7.2مراجعة مدخالت 7.3االستعراضي اإلخراج
- 95. ISO 27001 Annex A (normative) A.5 Information Security Policy A.8 Human resource Security A.7 Asset Management A.11 Access Control A.12 Systems Acquisition, Development & Maintenance A.13 Security Incident Management A.14 Business Continuity Management A.6 Organization of information Security A.9 Physical & Environment Security A.10 Communication and Operations Management A.15 Compliance
- 96. ايزو27001أ المرفق(المعيارية) 5/14/2014 A.5 أمن سياسةالمعلومات A.8 أمنالبشرية الموارد A.7 إدارةاألصول A.11 في التحكمالوصول A.12 نظم اقتناءتطويرها ، وصيانتها A.13 إدارةالحوادث األمنية A.14 استمرارية إدارة األعمال A.6 أمن تنظيمالمعلومات A.9 األمنالمادي والبيئي A.10 وإدارة االتصاالت العمليات A.15 االمتثال
- 97. ISO 27001 Annex A (normative) A.5 Security policy (1/2) A.6 Organization of information security (2/11) A.7 Asset management (2/5) A.8 Human resources security (3/9) A.9 Physical and environmental security (2/13) A.10 Communications and operations management (10/32) A.11 Access control (7/25) A.12 Information systems acquisition, development and maintenance (6/16) A.13 Information security incident management (2/5) A.14 Business continuity management (1/5) A.15 Compliance (3/10) Total 39 control objectives 133 controls
- 98. ايزو27001أ الملحق(المعيارية) A.5 Security policy (1/2) A.6 Organization of information security (2/11) A.7 Asset management (2/5) A.8 Human resources security (3/9) A.9 Physical and environmental security (2/13) A.10 Communications and operations management (10/32) A.11 Access control (7/25) A.12 Information systems acquisition, development and maintenance (6/16) A.13 Information security incident management (2/5) A.14 Business continuity management (1/5) A.15 Compliance (3/10) 5/14/2014 المجموع 39lكونترول موضوع 133كونترول
- 99. 1. Security Policy • Security Policy Single Policy for Entire Organisation & manage- mental Commitment Objectives Achieve High level of confidentiality , Data integrity and Protection Commitment Acceptable ‘ USE’ Policy for Employees, Users and Management Scope
- 100. 1.األمن سياسة •األمن سياسة 5/14/2014 واحدة سياسةللمصلحهبأكملها وإدارةااللتزامات جميع االهداف السرية من عال مستوى تحقيق البيانات وسالمةوحمايتها االلتزام للموظ المقبول االستخدام سياسةفين والمستخدمينواإلدارة العمل نطاق
- 101. 2. Organization of Information Security Security Organisation Assignments of roles according to the area of Professional Practice Leadership Chief Information Security Officer (CISO) Security Group Leader(s) Security Teams Incident Response Team Change Control Team Disaster Recovery Team Responsibilities
- 102. 2.أمن تنظيمالمعلومات تنظيماألمن 5/14/2014 لمجال وفقا األدوار تعيينات المهنية الممارسة القيادة المعلوم ألمن التنفيذي الرئيسات (CISO) األمنية المجموعة رئيس األمن فرق للحوادث االستجابة فريق التغيير مراقبة فريق فريقالتعافيمنالكوارث المسؤوليات مثال
- 103. 3. Asset Management Asset Classification & Control Electronic Tags on all Assets, Barcodes and Database management Inventory Assignment of Assets controller, Custodianship of assets under use. Protection Assets location, ownership and regular inventory audit internally, externally Ownership
- 104. 3.األصول إدارة تصنيفوالتحكم األصول 5/14/2014 البطاقاتجمي على اإللكترونيةع ،الموجوداتا الرموز شريطوإدارة البيانات قواعد الجرد األصول مراقب تعيينوحراسة تستخدم التي األصول الحماية المخزونا ،وملكيتها األصول موقعت والتدقيق العاديةخارجيا ،داخليا الملكية امثلة
- 105. Assets Protection
- 107. 4. Human Resource Security HR Security Security assignment as add- on role for all employees Job descriptions Police clearance for personal character check before hiring employees Security training Handing over security policy, awareness training & type of response reporting Recruitment screening
- 108. 4.البشرية الموارد األمن البشرية الموارد امن 5/14/2014 جميع مهام الى مضافة االمن مهمة الموظفين وصفالوظائف الوظا على المتقدمين تاريخ فحصئف توظيفهم قبل االمنية الجهات من األمني التدريب تسليم،األمنية السياساتوالتدريب والتوعيةللبالغات واالستجابة التوظيف فحص مثال
- 109. HR Security Archive
- 111. 5. Physical & environmental Security Physical & environmental Security Setting up the Levels of Access ,classifying area of operations in groups Access control Biometric appliances, Security Guards, Proximity card and Visitor Badges Surveillance Centrally Controlled Surveillance Cameras CTVs Authorisation
- 112. 5.والبيئي المادي األمن األمنوالبيئي المادي 5/14/2014 وتصنيف الدخول مستويات إعداد العمليات منطقةالىمجموعات في التحكمالوصول ،البصمة أجهزةبطاقة ،األمن حراس بطاقات و االلكترونية الدخول الزوار مراقبة مركزيا التحكمبكاميراتالمراقبة CCTVS الترخيص امثلة
- 115. 6. Communication and operations Management Procedures that answer!!! “What to do when the incident occurs?” Operating procedures Separation of duties in the tasks of employees “ Who does what” Capacity planning Regular monitoring on systems resources and bandwidth in use Assignment of tasks Communication and operations Management
- 116. 6.وعمليات االتصاالت إدارة 5/14/2014 التي اإلجراءاتتجيب" !ع تفعل ماذاند الحادث؟ حدوث" التشغيل إجراءاتالواجبات بين الفصلوالموظف مهامين "ماذا يفعل من" على القدرةالتخطيط موارد على المنتظم الرصدالنظم في الترددي النطاق وعرض االستخدام المهام توزيع إدارةالعمليات و االتصاالت مثال
- 119. 7. Access Control Password management, token of access and single sign in through LDAP Restricts users access to certain network services and setting up users privileges Accounting Maintaining record of connection time, Number of transfer and duration Authorisation Access Control Authentication
- 120. 7.الوصول في التحكم 5/14/2014 ،المرور كلمة إدارةالدخول ورمز واحدة وعالمةمنخاللLDAP خدمات إلى المستخدمين وصول يقيد امتيازات ووضع معينة شبكة للمستخدمين المحاسبة ،االتصال وقت سجل على الحفاظ ومدتها التنقالت عدد الترخيص الوصول في التحكم المصادقة
- 121. 8. Information Systems acquisition Development and Maintenance Network based IDS Host based IDS Data integrity checker State full packet filtering Content filtering and proxing NATing & Routing Deputing security guards,duress alarms , biometrics & laser lights Fire walls System development and maintenance Intrusion detection system Physical security
- 122. 8.والصيانة التنمية اقتناء المعلومات نظم 5/14/2014 IDSالشبكة في المؤسس IDSالهوست في المؤسس مدققالبيانات سالمة كاملة تصفيةللحزم وو للمحتوىproxing NATingوالتوجيه جلبحراسامنوأجهزة ،،اإلنذار والقياساتاللي وأضواء الحيويةزر النارية الجدران وصيانته النظام تطوير التسلل كشف نظام المادي األمن مثال
- 125. 9. Information Security Incident Management Incident Reporting Format Incident Logging Incident Escalation Procedure Incident Response Team Incident Handling Root Causes Addressing Reported Incident Lesson Learnt Investigation Incident Management Incident Reporting Redresses of Incident
- 126. 9.إدارةحوادثالمعلومات أمن 5/14/2014 تنسيقالبالغاتالحوادث عن الحادث تسجيل الحادث تصعيد إجراءات للحوادث االستجابة فريق الحادث معالجة األسبابالجذرية عنها المبلغ الحوادث معالجة منها المستفادة والدروس تحقيق إدارةالحوادث اإلبالغالحوادث عن الحوادث ادراك مثال
- 127. 10. Business continuity management Studies of natural disasters e.g. . Lighting,flood,and terrorism,bomb threats etc. Risk assessment Incident response planning, emergency fallback and resumption procedures Execution & recovery Using remote DRP site Restoring operations and recovering data from backups media Planning Business continuity management
- 128. 10.األعمال استمرارية إدارة 5/14/2014 مثل الطبيعية الكوارث دراسات. ،واإلرهاب ،والفيضانات ،اإلضاءة والتهديداتالخ المخاطر تقييمإجراءاتتخطيطللحوادث االستجابة، حاالت تراجعالطوارئواستئنافها واالنتعاش التنفيذ باستخدام عنبعد البيانات واستعادة العمليات استعادةمن النسخاالحتياطية تخطيط األعمال استمرارية إدارة مثال
- 131. 11. Compliance All procedures ,processes should be based on “best method practices” and checked by a professional body Pre-audit A third party independent auditor can check &endorse the compliance. e.g. BSI Auditors ,ISO Auditors Maintenance Audit at regular interval e.g yearly to maintain the compliance requirement External-audit Compliance
- 132. 11.االمتثال 5/14/2014 تستند أن ينبغي ،اإلجراءات جميعع علىمليات "أفضل طريقةالممارسات"قب من وفحصهال مهنية هيئة التدقيق قبل ماAمستقل مدققكثالث طرفأن يمكن ال في االمتثالية على ويدقق يتحققمصلحة. المثال سبيل علىBSIمدققي،ISO ومدققي الصيانة منتظمة فترات على المراجعةسنويا للحفاظمتطلبات علىاالمتثالية الخارجي التدقيق االمتثال مثال
- 133. 133 Compliance Review and Corrective Actions • Management shall review the organization’s ISMS at planned intervals (at least once a year) to ensure its continuing suitability, adequacy and effectiveness. • This review shall include assessing opportunities for improvement and the need for changes to the ISMS, including the information security policy and information security objectives. • The results of the reviews shall be clearly documented and records shall be maintained. • This is carried out during the ‘Check’ phase of the PDCA cycle and any corrective actions managed accordingly.
- 134. 5/14/2014 الصحية واالجراءات االمتثال مراجعة •في المعلومات امن ادارة نظام تراجع ان يجب االدارةالمصلحهالمخطط فترات علىلها (مرةاألقل على السنة في واحدة)،مالءمتها استمرارية لضمانوفعالي وكفايتهاتها. •فرص تقييم االستعراض هذا ويشمله كان واذا المعلومات امن ادارة نظام تحسينناك حاجةف تغييرات إلجراء، يهاالمعلومات أمن سياسة ذلك في بماوأهدافأمن المعلومات. •نتائجالمراجعةواضح بشكل موثقة تكون أن يجب.المحافظة ويجبعلىالسجالت. •مرحلة خالل من ذلك ويتم'التحقق'دورة منPDCAإلدارتها تصحيحية إجراءات وأية لذلك وفقا.
- 135. 135 Pre-Certification Assessment • Prior to the external audit the information security adviser should carry out a comprehensive review of the ISMS and SOA. • No audit can take place until sufficient time has passed for the organization to demonstrate compliance with both the full PDCA cycle and with clause 8 of ISO 27001, the requirement for continual improvement. • Auditors will be looking for evidence that the ISMS is continuing to improve, not merely that it has been implemented.
- 136. 5/14/2014 الشهادة قبل ما تقييم •الخارجية المراجعة قبلمستشار على ينبغيالمعلومات أمنإجراءش استعراضامل للISMSوالSOA. •المراجعة تتم أن يمكن الحتىتأخذالمصلحهالكافي وقتهاالتطابق إلثباتمدورة كل ع PDCAالكاملوالبند8منISO 27001،للتحسين ومتطلبالمستمر. •سيبحثون المدققونأن على أدلة عنISMSمستمرةالتحسن فيوليس ،فقطتم قد أنه تنفيذه.
- 137. 137 Certification Audit Certification involves the assessment of an organization’s ISMS. ISMS certification ensures that the organization has undertaken a risk assessment and has identified and implemented a system of management controls appropriate to the information security needs of the business. Evidence that an organization is conforming to the Standard, and any supplementary documentation, will be presented in the form of a certification document or certificate. Certification bodies shall need to ensure itself that the organization’s information security risk assessment properly reflects its business activities and extends to the boundaries and interfaces of its activities as defined in the Standard. Certification bodies should confirm that this is reflected in the organization’s risk treatment plan and its Statement of Applicability.
- 138. 5/14/2014 التدقيق شهادة تشتمل الشهادةتقييم علىالمعلومات امن ادارة نظامللمصلحه.و الشهادةISMSتضمنأنالمصلحهللمخاطر تقييما أجرت ونفذت وحددتاليةالحتياج المناسبة اإلدارية الضوابط منات المعلومات أمنفيالمصلحه. مطابقة غير منظمة أن على دليلللمعاييراية اووثائقإض،افية الشهادة أو التصديق وثيقة شكل في وستقدم. تحتاج التصديق هيئاتا لضماننتقييممخاطرالمعل أمنومات للمصلحهأنشطتها صحيح بشكل يعكسوتمتدو حدود إلىاجهات المعيار في المحدد النحو على أنشطتها.
- 139. Informal / Option Pre-Assessment Stage 1 Documentation Review Stage 2 Onsite Audit Award Combine or Joint Audit Surveillance (V2) Surveillance (V3) Surveillance (V4)Surveillance (V5) Surveillance (V6) Renewal Close Out Recommend Major N/C Gap Analysis - Status of implementation - Option, not mandatory - Processes not fully covered - Duration by request Audit Process Flow Formal Requirement Stage 1 - SOA - Security Policy / Objectives - Security Manual / SOPs - Risk Assessment Report - Treatment Plan - Countermeasures - Residual Risks - BCM / BCPs Stage 2 - Full process & clauses - Compliance of requirements - Process approach - Sample technique - Evidence of operation of house rules Onsite Surveillances - Prove continual effectiveness - Combine or joint audit
- 140. Informal / Option التقييم قبل ما Award Combine or Joint Audit Surveillance (V2) Surveillance (V3) Surveillance (V4)Surveillance (V5) Surveillance (V6) Renewal Close Out Recommend Major N/C Gap Analysis - Status of implementation - Option, not mandatory - Processes not fully covered - Duration by request Audit Process Flow 5/14/2014 Formal Requirement Stage 1 - SOA - Security Policy / Objectives - Security Manual / SOPs - Risk Assessment Report - Treatment Plan - Countermeasures - Residual Risks - BCM / BCPs Stage 2 - Full process & clauses - Compliance of requirements - Process approach - Sample technique - Evidence of operation of house rules الموقع في المراقبات -مستمرة فعالية أثبت -أو التدقيق بين الجمعمشتركة المرحلة1الوثائق استعراض المرحلة2الموقع في التدقيق
- 141. 141 Continual Improvement • The organization shall continually improve the effectiveness of the ISMS through the use of: • The information security policy; • Information security objectives; • Audit results; • Analysis of monitored events; • Corrective and preventive actions; • Management review.
- 142. 5/14/2014 شهادةالتدقيق •على يتعينالمصلحهتحسين باستمرارالمعلومات امن ادارة نظام فاعليةخالل من استخدام: •المعلومات امن سياسة •المعلومات امن اهداف •التدقيق نتائج •رصدها تم التي االحداث تحليل •والوقائية التصحيحية اإلجراءات؛ •مراجعةاإلدارة.
- 143. 143 • A - BS ISO/IEC 27001:2005 (ISO 27001) - Information technology - Security techniques - ISMS Requirements • B - BS ISO/IEC 27002:2005 (ISO 27002) - Information technology - Security techniques - Code of practice for Information Security Management • C - Alan Calder/Steve Watkins (2007) - IT Governance – A Manager’s Guide to Data Security and BS 7799/ ISO 17799 (3rd Edition) - Kogan Page Publishing References
- 144. 5/14/2014 • A - BS ISO/IEC 27001:2005 (ISO 27001) - Information technology - Security techniques - ISMS Requirements • B - BS ISO/IEC 27002:2005 (ISO 27002) - Information technology - Security techniques - Code of practice for Information Security Management • C - Alan Calder/Steve Watkins (2007) - IT Governance – A Manager’s Guide to Data Security and BS 7799/ ISO 17799 (3rd Edition) - Kogan Page Publishing المراجع
- 145. Q & A Thank You