مقدمه: 1
فصل اول:آشنایی با ISMS. 2
1-1 ISMS چیست؟ 3
1-2 تعاریف و اختصارات.. 3
1-3 امنیت اطلاعات.. 5
1-4 مزایای سیستم مدیریت امنیت اطلاعات.. 5
1-5 اهداف امنیتی سیستم مدیریت امنیت اطلاعات.. 6
1-5-1 تدوین خطمشی امنیت سازمان. 6
1-5-2 سازمان امنیت اطلاعات.. 7
1-5-3 مدیریت دارایی. 7
1-5-4 امنیت پرسنل. 7
1-5-5 امنیت فیزیکی و محیطی. 7
1-5-6 مدیریت عملیات و ارتباطات.. 7
1-5-7 کنترل دسترسی. 7
1-5-8 توسعه و نگهداری سیستم های اطلاعاتی. 7
1-5-9 مدیریت حوادث امنیت اطلاعات.. 8
1-5-10 مدیریت تداوم کسب و کار سازمان. 8
1-5-11 انطباق. 8
1-6 معرفی فازهای طراحی، اجرا، بررسی، اقدام و بخش آموزش.. 18
1-6-1 فاز طراحی سیستم مدیریت امنیت اطلاعات.. 18
1-6-2 فاز اجرا سیستم مدیریت امنیت اطلاعات.. 20
1-6- 3 بخش آموزش.. 20
1-6-4 فاز بررسی. 21
1-6-5 فاز اقدام. 21
1-7 مستندات و سوابق سیستم مدیریت امنیت اطلاعات.. 21
1-7-1 مستندات سیستم مدیریت امنیت اطلاعات.. 21
1-7-2 سوابق سیستم مدیریت امنیت اطلاعات.. 22
1-7-3 فعالیتها و فرایندهای سیستم مدیریت امنیت اطلاعات.. 23
فصل دوم: معرفی ابزار و محیط.. 27
فصل سوم: معرفی پروژه 30
3-1 معرفی استاندارد بین المللی ISO/IEC 27005:2008: 31
3-2 مدیریت ریسک توسط نرم افزار Callio: 31
3- 3 فرمول محاسبه ریسک: 39
3-4 کاهش ریسک Risk Mitigation : 40
3-5 مراحل انجام "کاهش ریسک" توسط نرم افزار Callio: 41
فصل چهارم: بررسی یک نمونه کاربردی.. 50
فصل پنجم: نتیجه گیری، پیشنهادات و راهکارهایی برای آینده 66
فهرست اشکال و جداول:
شکل1-1 : اهداف کنترلی ISMS 8
جدول 1-1: شرح وظایف و مسئولیتهای تیمها 10
شکل1-2: مراحل فاز اجرای ISMS 20
شکل1-3: فرایندهای موجود در فازهای مختلف 24
جدول 1-2:روشهای اجرایی و آییننامهها 25
شکل (2-1): صفحه نخست نرم افزار Callio. 28
شکل (2-2): انتخاب سیستم مدیریت امنیت 29
شکل (3-1): محیط اصلی نرم افزار 32
شکل (3-2): بخشهای اصلی Risk Management 33
شکل (3-3):ورود دارایی و انتخاب طبقهبندی. 34
شکل(3-4):کلیک روی Add برای ورود دارایی. 34
شکل (3-5): وارد کردن مشخصات دارایی. 35
شکل (3-6): تعریف معیار برای هر دارایی. 35
شکل (3-7): تعییین سطح پارامترهای امنیتی. 36
شکل(3-8):شناسایی آسیبپذیریهای هردارایی. 37
شکل (3-9): شناسایی تهدیدات هر دارایی. 37
شکل (3-10): ارزیابی احتمال وقوع تهدید 38
شکل(3-11):ریسک محاسبه شده برای هر دارایی. 38
شکل(3-12):مقدارکل ریسک برای هر Category. 39
شکل(3-13):کاهش ریسک با Risk Mitigation. 41
شکل(3-14):اتخاذیک تصمیم جدیدحاوی کنترل. 42
شکل (3-15): ایجاد یک تصمیم جدید با Add. 42
شکل(3-16):انتخاب نام و توصیف برای تصمیم 43
شکل(3-17): برای نمایش لیست استانداردها 44
شکل (3-18): انتخاب استاندارد مورد نظر 44
شکل(3-19):انتخاب کنترل برای پیادهسازی. 45
شکل(3-20):انعکاس تاثیر کنترل انتخاب شده 46
شکل (3-21): کاهش مقادیر برای آسیبپذیری 47
شکل(3-22): کاهش مقادیر برای تهدیدات.. 48
شکل(3-23):کاهش ریسک براثر اعمال کنترلها 49
شکل(3-24): ریسک قبل و بعد از اعمال کنترل. 49
شکل (4-1): لیست داراییهای مورد بررسی 51
جدول(4-1):پارامترهای امنیتی هر دارایی. 51
جدول(4-2):مرتبط بانرمافزارجامع مشترکین 52
جدول(4-3):مرتبط با Visual Studio 2005. 55
جدول(4-4):مرتبط با Data Recovery 57
جدول (4-5): مربوط به نرم افزار Edit Plus 59
جدول (4-6): مربوط به Sql Server 60
جدول (4-7): مربوط به کلیه فرمها 64
جدول(4-8):ریسک محاسبه شده برای هر دارایی. 65
