آموزش امنیت سایبری مطابق با ISO 27001:2022: کنترلهای ضمیمه A
ISO 27001:2022-Compliant Cybersecurity: The Annex A Controls
کنترلهای پیوست A در استاندارد ISO 27001 توسط سازمانها در سراسر جهان برای بهبود برنامههای امنیت اطلاعات خود و نشان دادن شیوههای امنیتی خوب به دیگران استفاده میشوند. در این بخش دوم از دوره دو قسمتی ISO 27001، مدرس Marc Menninger یک نمای کلی از تمام 93 کنترل امنیتی در پیوست A استاندارد ISO 27001 ارائه می دهد. شما می توانید از این دانش برای ایجاد یک برنامه امنیتی بهتر و آماده شدن برای انطباق با استاندارد ISO 27001 استفاده کنید. این دوره شامل اسناد مفیدی با روشهای توصیهشده برای نشان دادن انطباق با ISO 27001 است و ابزارهایی را در اختیار شما قرار میدهد که برای شروع اجرای کنترلها برای ایجاد یک برنامه امنیت سایبری مطابق با ISO 27001 نیاز دارید.
توجه: توصیه میشود با قسمت اول شروع کنید، ISO 27001:2022-Compliant Cybersecurity: Getting Started، که شامل اطلاعات پیشزمینه و الزامات انطباق است که باید بدانید اگر در مورد آن جدی هستید. ایجاد یک برنامه امنیت سایبری مطابق با ISO 27001.
معرفی Introduction
-
مقدمه ای بر کنترل های پیوست A Introduction to the Annex A controls
1. حکومت داری 1. Governance
-
سیاست های امنیت اطلاعات (کنترل 5.1) Policies for information security (Control 5.1)
-
نقش ها، مسئولیت ها و وظایف (کنترل 5.2-5.4) Roles, responsibilities, and duties (Controls 5.2–5.4)
-
مخاطبین و مدیریت پروژه (کنترل های 5.5، 5.6، و 5.8) Contacts and project management (Controls 5.5, 5.6, and 5.8)
2. مدیریت دارایی 2. Asset Management
-
مسئولیت دارایی های اطلاعاتی (کنترل های 5.9، 5.10، 6.7، و 8.1) Responsibility for information assets (Controls 5.9, 5.10, 6.7, and 8.1)
-
رویههای امنیتی دارایی (کنترلهای 5.11، 5.14، و 5.37) Asset security procedures (Controls 5.11, 5.14, and 5.37)
3. حفاظت از اطلاعات 3. Information Protection
-
طبقهبندی، برچسبگذاری و حریم خصوصی (کنترلهای 5.12، 5.13، و 5.34) Classification, labeling, and privacy (Controls 5.12, 5.13, and 5.34)
-
دادههای حذف، پوشش، DLP و آزمایش (کنترلهای 8.10–8.12 و 8.33) Deletion, masking, DLP, and test data (Controls 8.10–8.12, and 8.33)
4. مدیریت هویت و دسترسی 4. Identity and Access Management
-
مدیریت دسترسی (Controls 5.15-5.18) Access management (Controls 5.15–5.18)
-
کنترل دسترسی سیستم و برنامه (کنترلهای 8.2–8.5) System and application access control (Controls 8.2–8.5)
5. امنیت روابط تامین کننده 5. Supplier Relationships Security
-
امنیت روابط تامین کننده (کنترل های 5.19-5.21) Supplier relationships security (Controls 5.19–5.21)
-
مدیریت ارائه خدمات تامین کننده و امنیت خدمات ابری (کنترل های 5.22 و 5.23) Managing supplier service delivery and cloud services security (Controls 5.22 and 5.23)
6. مدیریت رویداد امنیت اطلاعات 6. Information Security Event Management
-
مدیریت حوادث امنیت اطلاعات (کنترل های 5.24-5.28 و 6.8) Information security incident management (Controls 5.24–5.28, and 6.8)
-
ثبت و نظارت (Controls 8.15-8.17) Logging and monitoring (Controls 8.15–8.17)
7. تداوم 7. Continuity
-
تداوم (کنترلهای 5.29، 5.30، و 8.13) Continuity (Controls 5.29, 5.30, and 8.13)
-
پشتیبان گیری و در دسترس بودن (کنترل های 8.13 و 8.14) Backup and availability (Controls 8.13 and 8.14)
8. حقوقی، انطباق، و تضمین امنیت 8. Legal, Compliance, and Security Assurance
-
حقوقی و انطباق (کنترل 5.31-5.33) Legal and compliance (Controls 5.31–5.33)
-
تضمین امنیت اطلاعات (کنترل 5.35 و 5.36) Information security assurance (Control 5.35 and 5.36)
9. امنیت منابع انسانی 9. Human Resource Security
-
قبل از استخدام (کنترل 6.1 و 6.2) Prior to employment (Controls 6.1 and 6.2)
-
در طول اشتغال (کنترل 6.3-6.6) During employment (Controls 6.3–6.6)
10. امنیت فیزیکی 10. Physical Security
-
اطمینان از دسترسی مجاز (کنترل های 7.1-7.3) Ensuring authorized access (Controls 7.1–7.3)
-
حفاظت از مناطق امن (کنترلهای 7.4–7.6) Protecting secure areas (Controls 7.4–7.6)
-
امنیت تجهیزات (کنترل های 7.7-7.10) Equipment security (Controls 7.7–7.10)
-
خدمات شهری، کابل کشی و مدیریت تجهیزات (Controls 7.11-7.14) Utilities, cabling, and equipment management (Controls 7.11–7.14)
11. امنیت سیستم و شبکه 11. System and Network Security
-
مدیریت امنیت شبکه (Controls 8.20-8.23) Network security management (Controls 8.20–8.23)
-
حفاظت از سیستم های اطلاعاتی (کنترل های 8.7، 8.18، 8.30، و 8.34) Protection of information systems (Controls 8.7, 8.18, 8.30, and 8.34)
12. مدیریت تهدید و آسیب پذیری و پیکربندی امن 12. Threat and Vulnerability Management and Secure Configuration
-
مدیریت تهدید و آسیب پذیری (کنترل 5.7 و 8.8) Threat and vulnerability management (Controls 5.7 and 8.8)
-
پیکربندی امن (کنترلهای 8.9، 8.19 و 8.24) Secure configuration (Controls 8.9, 8.19, and 8.24)
13. امنیت برنامه 13. Application Security
-
توسعه ایمن (Controls 8.25-8.28) Secure development (Controls 8.25–8.28)
-
آزمایش، محیط های جداگانه و مدیریت تغییر (کنترل های 8.29، 8.31، و 8.32) Testing, separate environments, and change management (Controls 8.29, 8.31, and 8.32)
نتیجه Conclusion
-
دستیابی به انطباق با ISO 27001 Achieving ISO 27001 compliance
نمایش نظرات
نظری ارسال نشده است.
https://donyad.com/d/4b27a5
آموزش 10 برتر امنیت API OWASP: یک مرور کلی
The OWASP API Security Top 10: An Overview
استراتژیهایی را برای مقابله با آسیبپذیریهای امنیتی رایج مرتبط با APIها، همانطور که در OWASP API Security Top 10 ذکر شده است، کاوش کنید.
آموزش Cert Prep: دارای گواهی ISC2 در امنیت سایبری (CC)
Cert Prep: ISC2 Certified in Cybersecurity (CC)
سیستم های با دسترسی بالا از چندین سرور برای محافظت در برابر خرابی یک جزء استفاده می کنند. این شامل استفاده از دستگاه های خوشه بندی و failover/standby می شود. تحمل خطا به محافظت از سیستم در برابر خرابی با انعطاف پذیری آن در برابر خرابی های فنی کمک می کند. در این ویدئو، مایک چاپل اصول اولیه دسترس پذیری بالا و تحمل خطا را توضیح می دهد.
آموزش امنیت سایبری مطابق با ISO 27001: 2013: کنترلهای پیوست A
ISO 27001:2013-Compliant Cybersecurity: Annex A Controls
با یادگیری الزامات کنترل امنیتی 114 ضمیمه A، برنامه امنیت اطلاعات خود را بهبود بخشید یا برای انطباق با استاندارد ISO 27001 آماده شوید.
Marc Menninger
مدیر امنیت فناوری اطلاعات
مارک به عنوان یک متخصص امنیت اطلاعات، بیش از 20 سال تجربه امنیتی کاربردی دارد. او همچنین یک مشاور بازاریابی آنلاین، نویسنده، سخنران، کارآفرین و نتورکر است. حرفه امنیتی او در سال 1992 با پنج سال خدمت به عنوان افسر کامپیوتر و ارتباطات در نیروی هوایی ایالات متحده آغاز شد. در آنجا، او مسئول رهبری تیمی بود که قادر به استقرار شبکه های کامپیوتری فیبر نوری فوق سری موبایل بود. مارک نیروی هوایی را به عنوان کاپیتان ترک کرد و وارد دنیای غیرنظامی شد و نقشهای فنی مختلفی از جمله سرپرست میز کمک، مدیر شبکه و مشاور امنیت شبکه و اطلاعات را ایفا کرد. او همچنین یک معاون در بخش امنیت اطلاعات شرکتی واشنگتن موچال بانک در سیاتل و تحلیلگر ارشد ریسک امنیتی در PEMCO بود.
مارک همچنین به صاحبان مشاغل کمک می کند تا شرکت های خود را به عنوان یک مشاور بازاریابی آنلاین پاره وقت معرفی کنند. بهینه سازی موتورهای جستجو، رسانه های اجتماعی و وبلاگ نویسی زمینه های تخصصی او هستند. او در سال 2011 کتاب بیشتر از رقبای شما: 50 نوشت. نکات بازاریابی آنلاین و SEO برای کسب و کارهای کوچک.
از جنبه امنیت اطلاعات، مارک برای ISSA Journal نوشته است و چندین مقاله امنیتی آنلاین نوشته است. . او که عضو Toastmasters International است، از صحبت کردن و آموزش در مورد موضوعات مختلف، از جمله امنیت اطلاعات، بازاریابی آنلاین، بهینه سازی موتورهای جستجو، وبلاگ نویسی، سخنرانی های الهام بخش و انگیزشی و غیره لذت می برد. برای کسب اطلاعات بیشتر یا تماس با مارک، با او در LinkedIn ارتباط برقرار کنید.
Linkedin (لینکدین)
لینکدین: شبکه اجتماعی حرفهای برای ارتباط و کارآفرینی
لینکدین به عنوان یکی از بزرگترین شبکههای اجتماعی حرفهای، به میلیونها افراد در سراسر جهان این امکان را میدهد تا ارتباط برقرار کنند، اطلاعات حرفهای خود را به اشتراک بگذارند و فرصتهای شغلی را کشف کنند. این شبکه اجتماعی به کاربران امکان میدهد تا رزومه حرفهای خود را آپدیت کنند، با همکاران، دوستان و همکاران آینده ارتباط برقرار کنند، به انجمنها و گروههای حرفهای ملحق شوند و از مقالات و مطالب مرتبط با حوزه کاری خود بهرهمند شوند.
لینکدین همچنین به کارفرمایان امکان میدهد تا به دنبال نیروهای با تجربه و مهارت مورد نیاز خود بگردند و ارتباط برقرار کنند. این شبکه حرفهای به عنوان یک پلتفرم کلیدی برای بهبود دسترسی به فرصتهای شغلی و گسترش شبکه حرفهای خود، نقش مهمی را ایفا میکند. از این رو، لینکدین به عنوان یکی از مهمترین ابزارهای کارآفرینی و توسعه حرفهای در دنیای امروز مورد توجه قرار دارد.