Protection vision Percentage

Physical Asset protection 82%

Non Physical Asset protection 18%

physicel asse vulnerability 57%

ISMS DEFINE : Information Security Management System is the overall management system base on a business risk approach , to establish ,implement, operate ,monitor and improve information security . ISMS includes organizational structure , policies , planning activities , responsibilities , practices , procedures , processes and resources

 WHO CAN USE ISMS : This standard can be used by : Internal parties Managers an staffsAll stakeholders External parties Suppliers CustomersThird parties Sertification bodies

Information security began from 1992 Code of practice for information security mgmt ( management) Code of practice – BS( Britain standard ) 7799- part 1 in 1995

این استاندارد مشابه استاندارد اول بود با این تفاوت ( کنترل های آن افزایش code of practiceکه تعداد )

یافت و قابلیت پوشش سازمانهایی که کامپیوتر داشتند و آنهایی که کامپیوتر نداشتند را داشت

Revised version of BS 7799- part 2 in 1999 دراین استاندارد تعداد کنترل ها بازهم افزایش پیدا کرد و صحبتهایی هم در مورد مدیریت ریسک به میان آمد

اولین نسخه استاندارد امنیت 2000و سرانجام در سال شد که در آن تعداد publishedاطالعات توسط آی زو

100کنترل های به شدت افزایش یافت وبه حدود کنترل رسید

The first version of standard published BS 2002 فعالیت های خود را متوقف نکرد ودرسال

مدیریت ریسک را نیز به استانداردهای خود اضافه نمود وارد بازار کرد . می توان BS 7799-2 :2002و تحت عنوان

وارد نشده بود risk managementگفت تا مادامی که استاندارد به ما ماهی می فروخت وبعد از ان ماهی

گیری را به ما آموخت به بیان دیگر از ما خواست که به دنبال تعریف کنترل های جدید باشیم و در توسعه و

ارتقاء استاندارد شریک گردیم .

ISO /IEC STANDARD Description

27000 Vocabulary and definitios

27001 Requirement

27002 Code of practice ( iso 17799 :2005 )

27003 Implementation guidance

27004 Metrics and measurement

27005 Risk management

1992 code of practice for information security mgmt 1995 code of practice – BS77991999 revised version of BS77992000 ISO/IEC 17799 : 2000 published 2004 BS7799 -2 : 2002 2005 new ISO/IEC 17799 :2005

یه شرح جدل زیر isoاستاندارد های جدید در دست تدوین است : New standard category :

Process approach : A process approach is include of : ( ISO27001)•Understanding business information security requirements and the need to establish policy and objectives for the information security درک الزمات امنیت اطالعات •Implementing and operating controls in the contex of managing and organization’s overall business risk •Monitoring and reviewing the performance and effectiveness of the ISMS•Continual improvement based on objective measurement

Continual improvement of the information security management system

Interested parties

Managed information

security

Interested parties

Information security

requirement and

expectation

Establish ISMS

(4.2.1)a

Implement andOperate isms

(4.2.2)a

Monitor and Review isms

(4.2.3)a

Maintain andImprove isms

4.2.4a

input output

Information security management system

Critical success factors :•Information security policy , objectives and activities that reflect business objectives

isms بازگو کننده اهداف و سیاست های سازمان باشد

•Approach to information security consistent with the organizational culture

باید با فرهنگ سازمانی تطابق داشته باشد•Visible support and commitment from all levels of management حمایت شفاف و تعهد و الزام تمام مدیران الیه های

مختلف•A good underatanding of the information security requirement , risk assessment and risk management • Effective Awareness of information security to all managers , employees and other parties

•Distribution of guidance on information security policies and standard to all manager employees and other parties

توزیع و سازماندهی مناسبی از راهنمایی هایی مورد نیاز پیاده سازی سیستم برای تمام الیه های مختلف مدیریت و

کارکنان داشته باشیم•Provision to fund information security management activities •Providing appropriate awareness , training and education •Establishing an effectiveinformation security incident management process •Implementation of measurement system that is used to evaluate performance in information security management and feed back sugestion for improvement .

High

low

Prob

abili

ty

consequence

Medium risk

Medium risk Low risk

High risk

High

Input process Input

feedback

System schematic

System schematic

Interested parties

Managed information

security

Interested parties

Information security

requirement and

expectation

Establish ISMS

(4.2.1)a

Implement andOperate isms

(4.2.2)a

Monitor and Review isms

(4.2.3)a

Maintain andImprove isms

4.2.4a

input output

Information security management system

isms schematic

Calculate probabilityمحاسبه وقوع

پذیری

Selected control

انتخاب کنترل مناسب

Predict next

proabilityپیش بینی

وقوع پذیری آینده

Implement control

Evidences gathering

بررسی شواهد

Compareمقایسه با

پیش بین اول ومشخص نمودن

اثربخشی

Effectiveness off control