Auditing Sistemi Di Gestione Per La Sicurezza Delle Informazioni- ISO 27001

ISO 27001-2005 Sistema di Gestione della Sicurezza delle informazioni (ISMS) Requisiti generali Creare e gestire un ISMS Istituire il SGSI Stabilire e attuare il SGSI Il monitoraggio e la revisione del SGSI Mantenimento e il miglioramento dei SGSI Dossier requisiti Generale Documenti di controllo Registri di controllo Responsabilità della Direzione Impegno della Direzione La gestione delle risorse Fornitura di risorse Formazione, sensibilizzazione e competenze Gli audit interni del SGSI Riesame da parte della SGSI Generale Ingressi per la revisione Le uscite del processo di revisione Migliorare la ISMS Miglioramento continuo Azione correttiva L'azione di prevenzione ISO 17779-2005 VALUTAZIONE DEI RISCHI E TRATTAMENTO Valutare i rischi per la sicurezza Trattamento dei rischi per la sicurezza

SICUREZZA COMUNE Politica di Sicurezza Documento di politica in materia di sicurezza delle informazioni Riesame della politica della sicurezza delle informazioni

ORGANIZZAZIONE DELLE INFORMAZIONI DI SICUREZZA Organizzazione interna Gestione impegno per la sicurezza delle informazioni Coordinamento della sicurezza delle informazioni Ripartizione delle responsabilità in materia di sicurezza delle informazioni Processo di autorizzazione per la tecnologia dell'informazione Accordi di riservatezza Il contatto con le autorità Il contatto con i gruppi di interesse speciale Revisione indipendente delle informazioni di sicurezza Parti esterne Identificazione dei rischi connessi con le parti esterne Conduzione di sicurezza quando si tratta con i clienti Indirizzo accordi in materia di sicurezza da parte di terzi

ASSET MANAGEMENT Asset Liability Asset Inventory Proprietà dei beni Accettabile l'uso dei beni Classificazione Informazioni Linee guida per la classificazione Informazioni di etichettatura e la manipolazione Le risorse umane di sicurezza Prima in via di sviluppo Ruoli e responsabilità Selezione Termini e condizioni di lavoro Durante l'occupazione Responsabilità di gestione Consapevolezza della sicurezza delle informazioni, l'istruzione e la formazione Processo di disciplina Termine o cambiare lavoro Completamento delle responsabilità Restituzione dei beni Revoca dei diritti di accesso Sicurezza fisica e ambientale Aree protette Perimetro di sicurezza fisica Entrata controlli fisici Proteggere gli uffici, i locali e gli impianti La protezione contro le minacce esterne e ambientali Running in aree protette L'accesso del pubblico, aree di carico e di consegna Attrezzatura di sicurezza Posizione di attrezzature e di protezione Supporto Utilità Cavo di sicurezza Manutenzione delle attrezzature Di sicurezza al di fuori del gruppo organizzazione Sicuro di smaltimento o il riutilizzo delle apparecchiature La pensione di proprietà

COMUNICAZIONI E OPERAZIONI DI GESTIONE Operazioni e la responsabilità operativa Documentazione delle procedure operative Tenere traccia delle modifiche Separazione delle funzioni La separazione tra sviluppo e strutture che operano servizi Gestire l'erogazione di servizi da terzi Consegna Il monitoraggio e la revisione di consegna di servizi da terzi Change Management di erogazione di servizi da terzi Sistemi di pianificazione e approvazione Capacità di pianificazione Approvazione del sistema Protezione contro il software dannoso Controlli nei confronti di software dannoso Back-up (backup) Informazioni di supporto Gestire la sicurezza di rete Network Control Sicurezza dei servizi di rete Manipolazione dei media Gestione dei supporti rimovibili La fornitura di Processo di gestione delle informazioni Sicurezza del sistema di documentazione Scambio di informazioni Lo scambio di informazioni politiche e procedure Accordo di scambio di Mezzi di trasporto di sicurezza E-mail Business Information System Servizi di e-commerce Commercio Elettronico Transazioni on-line A disposizione del pubblico informazioni Monitoraggio Audit Entra Sistema di monitoraggio degli utenti Protezione delle informazioni di log Records amministratore e operatore Registrazione problemi Sincronizzare Orologio

CONTROLLO ACCESSI Requisiti di business per il controllo accessi Politiche di controllo degli accessi Gestire l'accesso degli utenti Registrazione utente Amministrazione privilegi Amministrazione password Rassegna di diritti di accesso utente Responsabilità degli utenti Utilizzo della password Unattended apparecchiature Cancella scrivania e schermo chiara politica Network Access Control Politica in materia di uso dei servizi di rete L'autenticazione degli utenti per i collegamenti esterni Identificazione delle apparecchiature di rete Remota di diagnostica e configurazione di sicurezza del porto Segregazione nelle reti Controllo della connessione di rete Controllo del percorso di rete Sistema di controllo di accesso Alcune procedure in relazione alla comunicazione Identificazione e autenticazione degli utenti Sistema di gestione password Utilizzando il sistema di servizi di pubblica utilità Sessione del tempo Limitazione del tempo di connessione Applicazione e controllo di accesso alle informazioni Restringere l'accesso alle informazioni Sensibili del sistema di isolamento Mobile Computing e telelavoro L'informatica e le comunicazioni mobili Telelavoro

SVILUPPO E MANUTENZIONE DI SISTEMI DI Requisiti di sicurezza dei sistemi L'analisi e la specificazione dei requisiti di sicurezza -- Sistemi di sicurezza in applicazione Convalida dei dati di input Controlli interni di trasformazione Messaggio di autenticazione Convalida dei dati in uscita Controlli di crittografia Politica di utilizzo di controlli di crittografia Gestione delle chiavi Sicurezza dei file di sistema Protezione dei dati di test del sistema Controllo di accesso al codice sorgente del programma Sicurezza in fase di sviluppo e processi di supporto Cambia le procedure di controllo Revisione tecnica delle applicazioni del sistema operativo dopo le modifiche Restrizioni sui cambiamenti di pacchetti software Fuga di informazioni Esterne di sviluppo del software Tecniche di gestione delle vulnerabilità Tecniche di controllo di vulnerabilità Gestione incidenti di sicurezza informatica Segnala eventi debole e la sicurezza delle informazioni Segnala eventi della sicurezza delle informazioni Relazione Debole informazioni La gestione degli incidenti e il miglioramento della sicurezza delle informazioni Responsabilità e procedure Impara da incidenti di sicurezza informatica Raccolta delle prove Gestire la business continuity Aspetti della gestione della sicurezza di continuità del business Processo di Business Continuity Management Business continuity e la valutazione dei rischi Sviluppare e attuare piani di continuità tra cui la sicurezza delle informazioni Quadro per la pianificazione di business continuity Di collaudo, la manutenzione e l'aggiornamento dei piani di business continuity Conformità Conformità ai requisiti di legge Individuazione della legge applicabile ai diritti di proprietà intellettuale (DPI) Protezione dei verbali delle organizzazione La sicurezza delle informazioni e delle informazioni sulla privacy Prevenzione di sviamento di risorse di elaborazione delle informazioni Il regolamento di controllo crittografico Conformità con le politiche e le norme per la sicurezza e la conformità tecnica Il rispetto delle norme di sicurezza e Verifica tecnica di conformità Considerazioni di audit dei sistemi di informazione Controlli di revisione dei sistemi di protezione del sistema di controllo strumenti Infrastruttura per la standardizzazione, accreditamento e certificazione in materia di gestione della sicurezza delle informazioni e delle TIC. Normalizzazione, di certificazione e di accreditamento nel settore dei sistemi di sicurezza delle informazioni. Standardizzazione: Standard, organismo di normalizzazione, comitato tecnico di normalizzazione Certificazione di sistemi di gestione per la sicurezza delle informazioni. Come per certificare la vostra azienda Tipologie di certificazione L'accreditamento dei laboratori Organismo di certificazione Il Centro Nazionale Cryptologic: Agenzia per la certificazione, i ruoli e le responsabilità, la costituzione, il quadro giuridico L'Audit Sistemi di Sicurezza delle informazioni ISO 27001 Definizione e tipi di audit di Sistemi di Gestione della Sicurezza delle informazioni Criteri per la sicurezza di audit della sicurezza delle informazioni. Case Studies. Programma di audit. Piano di audit. La selezione dei revisori dei conti. Preparazione e utilizzo di liste di controllo Le fasi della revisione contabile Reunion Home Fonti di informazione. Tecniche per l'ottenimento di informazioni per le interviste. Comunicazione. Controlli a fare Osservazione di processi, strutture, luoghi, ecc. Verifica delle misure di sicurezza Verifica requisiti Raccolta di prove oggettive. L'analisi dei dati e dei risultati ottenuti Documentazione delle osservazioni. Record di incidenti e non conformità. Azioni correttive / azioni preventive. Proposte di miglioramento Riunione chiusa. Rapporti di audit della sicurezza delle informazioni Relazione sulla revisione contabile: la struttura, i requisiti di contenuto e di indice per la relazione di revisione. I requisiti legali per la relazione di revisione Struttura della relazione Preparazione della relazione. Contenuto. Distribuzione della relazione. Conservazione della relazione. Riservatezza. Monitorare i risultati dei controlli di sicurezza delle informazioni Ripetere audit. Monitoraggio delle azioni correttive e delle misure. Le persone coinvolte nel controllo della sicurezza delle informazioni. Responsabile per il file. Ruoli e responsabilità La responsabilità per la sicurezza. Ruoli e responsabilità. Il gruppo di audit. Ruoli e responsabilità Caratteristiche e le qualità professionali e revisori. Comportamento del Sindaco durante il controllo. Comunicazione nel corso del controllo: le questioni. Espressione orale e scritta. Come rispondere a un controllo: Atteggiamenti e comportamenti nel controllati Progetti e pratiche per migliorare la comprensione e l'analisi dei requisiti della norma ISO 27001 Compiti per la gestione di un programma di controllo della sicurezza delle informazioni da un punto di vista pratico applicato alla vostra organizzazione. Pratiche di progettazione un vero e proprio piano di audit per la vostra azienda, o di un esterno Compiti per aiutarvi a unire i concetti di condurre verifiche Pratiche in materia di prestazioni delle situazioni di controllo della sicurezza delle informazioni: completare l'incidente relazioni, ultimato la relazione di revisione, ecc. Utili per come compito di interpretare la non conformità, le sanzioni che comportano, l'attuazione delle soluzioni proposte e di azioni correttive. Programma di controllo per la vostra azienda e le procedure, i piani e le forme e applicato alla vostra organizzazione