840 likes | 1.15k Views
به نام خدا. آشنايي با استاندارد ISO27002 در ISMS. ISMS. ISMS چيست ؟ برگرفته از کلمات زير و به معناي “سيستم مديريت امنيت اطلاعات” است . Information Security Management System
E N D
به نام خدا آشنايي با استاندارد ISO27002 در ISMS
ISMS ISMS چيست ؟ برگرفته از کلمات زير و به معناي “سيستم مديريت امنيت اطلاعات” است . Information Security Management System ISO (سازمان بين المللي استاندارد سازي) و IEC(كميسيون بين المللي الكتروتكنيك) در كنار هم سيستم تخصصي استاندارد سازي جهاني را تشكيل داده اند که بالاترين مرجع استانداردسازي ISMS است .
Act Plan Check Do
جريان اطلاعات درون سازماني و برون سازماني جريان اطلاعات جريان اطلاعات جريان اطلاعات جريان اطلاعات جريان اطلاعات جريان اطلاعات
اطلاعات به چه منظور جريان دارند؟ 1- ايجاد ، بهره برداري و توسعه تجارت الکترونيک 2-ايجاد ، بهره برداري و توسعهدولت الکترونيک 3- ايجاد ، بهره برداري و توسعهآموزش الکترونيک 4- ايجاد ، بهره برداري و توسعه سازمان الکترونيک 5- ايجاد ، بهره برداري و توسعه پزشکي الکترونيک 6- و ...
اطلاعات سازمان هاي توسعه يافته معمولاً در چه سيستم هايي گردش ؟ CRM SCM MIS ERP … در ادامه
آيا دسترسي فيزيکي و لاجيکي به اطلاعات ما تعريف وکنترل شده است؟ آيا اسکن نمودن پورت هاي سرورهاي ما بلامانع است؟ آيا پورت هاي نرم افزاري و سخت افزاري رايانه هاي ما بسته است؟ آيا عمليات تصديق هويت در فرآيندهاي اطلاعاتي ما مورد اطمينان است؟ آيا هشدار دهنده هاي فعال نسبت به حوادث امنيتي داريم؟ آيا SecurityPolicy ما مرتب بازنگري مي گردد؟ آيا سازمان ما نياز به سيستم مديريت امنيت اطلاعات(ISMS)دارد
آيا تـردد بـه اماکـن پـردازش و ذخيـره ســازي اطلاعاتمان قابل کنترل و ثبت است؟ آيا به کارکنان خود اصول Social Engineering در امنيت اطلاعات را آموخته ايم؟ آيا پشتيبان گيري در دستور کار تمامي کارکنان مي باشد؟ آيا در مبادي ورودي شبکه ازIDSو IPS هـاي کارآمـد داريم؟
آيا SourceCode هاي برنامه هايمهم ما متعلق به خودمان است و يا امکان ايجاد تغييرات در آن براي ما وجود دارد؟ آيا در Serverهاي مبتني بر windows از WSUS استفاده مي کنيم؟ آيا سيستم مـا در مقابل دريافت انبـوه نامـه هاي الکترونيکي نا خواسته عکس العمل نشان مي دهد؟ آيا از پروتکلهاي SSL و IPSec و... استفاده مي کنيم ؟
آيا در مقـابل اشغـال پهناي بانـد و توان سـرورهـايمان تدبيري انديشيده ايم؟ آيا از عـدم وجود GPS يا گيرنده ، فرستنده هاي ديگر در سخت افزارهاي رايانـه اي و مخابراتي سازمان خود اطمينان داريم؟ اشاره : (Motorola-US Robotics) آيا کاربران شبکه ما Administrator رايانه هايشان هستند؟ اشاره : (babylon-winboost) آيا از عـدم وجود Spyware ها به خصوص keylogger ها و عدم امکان ورود آنان به سيستممان اطمينان داريم؟
آيا در بخش هاي مهم شبکه از HoneyPot ها استفاده مي کنيم؟ آيا در تبادلات الکترونيکي مهم از رمز نگاري هـاي کارآمد استفاده مي کنيم ؟ آيـا در سيستـم مـا Log File هاي قابل اطمينان وجود دارد؟ آيا اصـول پدافند غيـرعامـل در جنگ هـاي الکتـرونيک را رعايت نموده ايم؟ آيا در توليد و توسعه نرم افزار ها از روش Secure Up استفاده نموده ايد؟
مروري بر ايزو 27002 شامل تعاريف ، اهداف و اقدامات کنترلي و راهکارهاي اجرايي سيستم مديريت امنيت اطلاعات
اطلاعات چيست؟ ( تعريف ISO27002) اطلاعات يك دارايـي است كه هماننـد ساير دارايي هاي مهم براي فعاليت هـاي کاري يك سازمان بسيار اساسي است.
اطلاعات چيست؟ ( تعريف ويکي پديا) اطّلاعات مجموعهاي از آگاهيهاست، که مبناي اکتشاف و توليد دانش قرار ميگيرد. واژههاي دادهها و اطّلاعات ممکن است به جاي هم به کار رود ، ولي ، از پردازش و پرورش داده هاي خام و پردازش نشدهاست که اطّلاعات بوجود ميآيد. http://fa.wikipedia.org/wiki/%D8%A7%D8%B7%D9%84%D8%A7%D8%B9%D8%A7%D8%AA
انواعاطلاعات : اطلاعات مي تواند در اشكال بسيار مختلف وجود داشته باشد. اطلاعات را مي توان بر روي كاغذ به رشته تحرير درآورد و يا آن را بر روي كاغذ چاپ نمـود. اطلاعات را مي توان به صورت الكترونيكي ذخيره سازي نمود و آنرا از طريق پست يا با استفاده از وسايل الكترونيكي ارسال نمود. اطلاعات را مي توان بر روي فيلم ها به نمايش درآورد و يا آنها را به صورت شفاهي و كلامي در مكالمات ادا نمود.
امنيت اطلاعات چيست ؟ امنيت اطلاعات در واقع محافظت از اطلاعات در برابر طيف وسيعي از تهديدات است كه با هدف تضمين استمرار فعاليت هاي کاري ، به حداقل رساندن ريسك هاي کاري و به حداكثر رساندن ميزان بازده سرمايـه گـذاري ها و فرصت هاصورت مي پذيرد.
امنيت اطلاعات چيست ؟ امنيت اطلاعات، حفظ محرمانگي (confidentiality) ، تماميت(integrity) و در دسترس بودن (availability) اطلاعـات و همچنـين ساير مـواردي مانند تصديق هويت (authenticity)،مسئوليت پذيري(accountability) ، عدم انکـار (non-repudiation) و قابليـت اطميـنان (reliability) را شامل مي گردد.
علت نياز به امنيت اطلاعات در چيست؟ اطلاعات و فرآيندهاي پشتيباني ، سيستم ها و شبكه ها از جمله دارايي هاي مهم و حائز اهميت به شمار مي روند.سازمان ها ، سيستم هاي اطلاعاتي و شبكه هاي آنها با طيف وسيعي از تهديـدات امنيتـي از جملـه كلاهبرداري هاي كامپيوتري، جاسوسي، خرابكاري، آتش سوزي،سيلاب، زلزله ، عمليات تروريستي و ... مواجه هستند.
چرا در کشورهاي در حال توسعه ISMS جدي گرفته نشده است؟ 1- مشتبه شدن با امنيت شبکه 2- جدي نگرفتن توانمندي سيستم هاي اطلاعاتي 3- عدم اطلاع از استانداردهاي جهاني 4- عدم استفاده از نگرش کارآفريني در کنار نگرش دستوري در لايه مديريت
جايگاه دو سبک مديريتي دوره رشد نو آوري مديريت دستوري مديريت کار آفرين دوره افول نوآوري
5- خط مشي امنيت هدف : جهت بخشيدن به مديريت و حمايت از امنيت اطلاعات بر اساس الزامات كاري و قوانين و مقررات مربوطه. مديريت ملزم خواهد بود تا ضمن يك سياستگذاري مشخص بر اساس اهداف كاري ، پشتيباني و تعهد خود امنيت اطلاعات را از طريق انتشار و پايبندي به خط مشي امنيت اطلاعات در كل سازمان به اثبات رساند.
1-1-5- سند خط مشي امنيت اطلاعات سند خط مشي امنيت اطلاعات بايد توسط مديريت تاييد ، انتشار و به تمامي كاركنان و گروه هاي ذي ربط برون سازماني ابلاغ گردد. 2-1-5- بازنگري خط مشي امنيت اطلاعات خط مشي امنيت اطلاعات بايد در فواصل زماني برنامه ريزي شده مورد بازنگري قرار داده شود تا اگر تغييرات قابل توجهي در آن ايجاد شده است ، از حفظ شايستگي، كفايت و اثربخشي آن اطمينان حاصل شود.
6- ساختار امنيت اطلاعات 1-6 ساختار داخلي هدف :مديريت امنيت اطلاعات در داخل سازمان. هر گونه اقدام در جهت شروع و كنترل بر اجراي امنيت اطلاعات در داخل سازمان، مستلزم ايجاد يك چهارچوب مديريتي خواهد بود. مديريت ملزم خواهد بود تا ضمن تاييد خط مشي امنيت اطلاعات ، نقش هاي امنيت را تعيين و اجراي امنيت در داخل سازمان را هماهنگ و مورد بازنگري قرار دهد. توسعه سطح برقراري ارتباطات با متخصصين امنيت يا گروه هاي ذيربط در خارج از سازمان از جمله مقامات ذيربط در راستاي بروز نگه داشتن روندها و روش هاي صنعتي، نظارت بر استانداردها و روش هاي ارزشيابي و پيدا كردن نقاط ارتباطـي مناسب در زمان مقابلـه با رويـدادهاي امنيت اطلاعات الزامـي مي باشد.
1-1-6 تعهد مديريت به امنيت اطلاعات مديريت ملزم خواهد بود ضمن آن كه بطور فعالانه و از طريق دستورالعمل هاي مشخص از امنيت در داخل سازمان حمايت و پشتيباني مي نمايد ، تعهد خود را نسبت به آن به اثبات برساند و وظايف را صراحتاً تعيين نمايد و مسئوليت ها در حوزه امنيت اطلاعات را مورد تاييد قرار دهد. 2-1-6 هماهنگي امنيت اطلاعات فعاليت هاي امنيت اطلاعات بايد توسط نمايندگان بخش هاي مختلف سازمان و با توجه به نقش ها و وظايف شغلي هماهنگ گردد.
3-1-6 تعيين مسئوليت هاي امنيت اطلاعات تمامي مسئوليت هاي امنيت اطلاعات بايد به طور واضح تعريف و مشخص گردد. 5-1-6 موافقت نامه هاي حفظ محرمانگي الزامات مربوط به موافقت نامه هاي حفظ محرمانگي يا عدم افشاي اطلاعات كه بيانگر نيازهاي سازمان به محافظت از اطلاعات مي باشد بايد تعيين و مشخص شده و بطور منظم مورد بازنگري قرار داده شود .
6-1-6 ارتباط ( تماس ) با مقامات مسئول حفظ روابط مناسب با مقامات ذيربط لازم و ضروري مي باشد. 7-1-6 ارتباط با گروه هاي ذينفع خاص حفظ ارتباطات مناسب با گروه هاي ذينفـع خاص يا ساير تشكيلات امنيتي تخصصي و انجمن هاي حرفه اي لازم و ضروري مي باشد.
2-6 شركاي برون سازماني هدف :حفظ امنيت اطلاعات سازمان و مراكز پردازش اطلاعاتي كه در دسترس اشخاص برون سـازماني قرار مي گيرند ، توسط ايشان پردازش ، منتشر يا مديريت مي شوند . چنانچه بر مبناي الزامات كاري ، لزوم همكاري با اشخاص برون سازماني مستلزم دسترسي به اطلاعات سازمان يا مراكز پردازش اطلاعات يا مستلزم دريافت يا تامين كالا يا خدمات از سوي اشخاص برون سازماني باشد ، انجام ارزشيابي ريسك به منظور تعيين مفاهيم و مضامين امنيت و الزامات كنترل لازم و ضروري خواهد بود. انجام اقدامات كنترلي بايد در قالب يك موافقت نامه با اشخاص برون سازماني تعريف و مورد توافق قرار گيرد.
3-2-6 توجه به موضوع امنيت در قراردادهاي شخص ثالث موافقت نامه هاي منعقده با اشخاص ثالثي كه به نحوي از انحاء در دسترسي ، پردازش ، انتشار يا مديريت اطلاعات سازمان يا مراكز پردازش اطلاعات يا اضافه كردن محصولات يا خدمات به مراكز پردازش اطلاعات دخالت دارند بايد متضمن تمامي الزامات امنيتي مربوطه باشند.
7- مديريت اموال هدف : انجام اقدامات لازم در جهت محافظت از اموال سازمان. تمامي اموال بايد داراي شناسنامه بوده و داراي يك صاحب و مالك مشخص ( اسمي )باشند. صاحبان هر يك از اموال بايد مشخص و مسئوليت ايشان در قبال انجام اقدامات كنترلي لازم تعيين شده باشد. صاحب هر يك از اين اموال مي تواند مسئوليت اجراي اقدامات كنترلي خاص را بر حسب مورد واگذار نمايد ، اما اين واگذاري موجب سلب مسئوليت وي در قبال محافظت صحيح از اموال نخواهد شد.
1-7- مسئوليت در قبال اموال 1-1-7 صورت اموال تمامي اموال بايد به صورت كامل ومشخص شناسايي شده باشد و فهرستي از موجودي كليه دارايي هاي مهم تنظيم و به نحو مقتضي نگهداري گردد. 2-1-7 مالكيت اموال مالكيت تمامي اطلاعات و داراييهاي مربوط به مراكز پردازش اطلاعات بايد توسط يكبخش مشخص از سازمان بعهده گرفته شود.
2-7- طبقه بندي اطلاعات هدف :حصول اطمينان از اين كه اطلاعات سازمان در حد قابل قبول و به نحو مقتضي مورد محافظت قرار داده مي شوند. اطلاعات بايد بگونه اي طبقه بندي شود كه ميزان نياز به آنها ، اولويت ها و سطوح مورد انتظار محافظت از آنها در زمان جابجايي كاملا" مشخص باشداطلاعات از سطوح مختلف حساسيت و اهميت برخوردار هستند. برخي از اين اطلاعات نيازمند محافظت بيشتر يا اعمال كنترل هاي خاص هستند. لذا تعريف و تعيين سطوح محافظت و بازگو كردن اهميت بكاربردن اقدامات ويژه در زمان استفاده از اطلاعات جز از طريق طرح طبقه بندي اطلاعات ميسر نخواهد گرديد.
1-2-7 دستورالعمل هاي طبقه بندي اطلاعات بايد برحسب ارزش آنها ، الزامـات قانونـي ، حساسيت و ميزان اهميتي كه براي سازمان دارند ، طبقه بندي شوند. 2-2-7 تعيين عنوان و نحوه جابجايي اطلاعات بر اساس طرح طبقه بندي اتخاذ شده توسط سازمان لازم خواهد بود تا يك مجموعه مناسب از رويه هاي اجرايي براي برچسب زني و جابجايي اطلاعات تهيه و تدوين گردد.
8- امنيت منابع انساني 1-8- قبل از استخدام هدف:حصول اطمينان از اين كه كاركنان ، پيمانكاران و كاربران ثالث نسبت به مسئوليت هاي خويش شناخت كافي داشته و براي نقش هايي كه براي ايشان در نظر گرفته شده است از هر نظر مناسب هستند و همچنين كاهش ريسک سرقت ، كلاهبرداري يا سوء استفاده از امكانات. توجه كافي به مسئوليت هاي امنيتي در شرح مشاغل و بر اساس شرايط و ضوابط استخدامي قبل از هر گونه اقدام در جهت استخدام لازم و ضروري خواهد بود. انجام گزينش متقاضيان استخدامي ، پيمانكاران و كاربران ثالث به خصوص در مورد مشاغل حساس ، الزامي خواهد بود. كليه كاركنان ، پيمانكاران و كاربران مراكز پردازش اطلاعات ملزم خواهند بود تا موافقت نامه مربوز به نقش ها ومسئوليت هاي امنيتي را به امضاء برسانند.
2-8 ضمن استخدام هدف:حصول اطمينان از اين كه كاركنان ، پيمانكاران و كاربران ثالث نسبت به تهديدات و دل نگراني هاي مترتب بر امنيت اطلاعات ، مسئوليت ها و تعهدات خويش آگاه بوده و براي حمايت از خط مشي امنيت سازماني در جريان كارهاي عادي خويش به ابزار لازم تجهيز شده اند و كاهش ريسك خطاي انساني. مسئوليت هاي مديريت بايد بگونه اي تعريف شود كه از اعمال امنيت در جريان مراحل استخدامي يك فرد در سازمان اطمينان لازم حاصل شود. آگاه سازي مناسب و آموزش هاي كافي در زمينه رويه هاي اجرايي امنيت و استفاده صحيح از مراكز پردازش اطلاعات به تمامي كاركنان ، پيمانكاران و كاربران ثالث به منظور كاهش ريسك هاي امنيتي . تعيين يك رويه رسمي انضباطي براي برخورد در موارد نقض امنيت لازم و ضروري مي باشد.
3-2-8 رويه انضباطي اجـراي يكرويـه انضباطـي در مــورد آندسته از كاركنانـي كه مرتكب نقض امنيت مي شوند ، الزامي به نظر مي رسد.
3-8 فسخ قرارداد استخدامي يا تغيير آن هدف :حصول اطمينان از خروج كاركنان ، پيمانكاران يا كاربران ثالث از سازمان يا تغيير شرايطمندرج در قرارداد استخدامي طبق روش هاي جاري. تعيين مسئوليت ها به گونه اي كه اطمينان حاصل شود خروج كاركنان ، پيمانكاران يا كاربران ثالث از سازمان كاملاً با نظر مديريت انجام شده است و عودت كليه تجهيزات و الغاي تمامي حقوق دسترسي بطور كامل انجام شده است. تغيير مسئوليت ها و قراردادهاي استخدامي در داخل يك سازمان بايد به شرحي كه در بخش فسخ مسئوليت يا قرارداد استخدامي تصريح شده است انجام پذيرد.
9- امنيت فيزيكي و پيراموني 1-9 مناطق امن هدف :جلوگيري از هر گونه دسترسي فيزيكي غير مجاز، خسارت و ايجاد هر گونه تداخل در پيرامون يا اطلاعات سازمان. مكاني كه براي مراكز پردازش اطلاعات حساس يا حائز اهميت در نظر گرفته مي شوند ، بايد از هر حيث امن بوده و با در نظر گرفتن محيط هاي امنيتي و با ايجاد موانع امنيتي مناسب و كنترلي مناسب در مبادي وروي مورد محافظت قرار گيرند. در اين ميان لازم خواهد بود تا از اين مكان ها به صورت فيزيكي در برابر هر گونه دسترسي غير مجاز ، خسارت و تداخل محافظت شود.
2-9 امنيت تجهيزات هدف :جلوگيري از ضرر و زيان ، خسارت ، سرقت يا به مخاطره افتادن دارايي ها و هر گونه اختلال در فعاليت هاي سازمان. محافظت از تجهيزات ( منجمله تجهيزات مستعملي كه در خارج از سايت قرار دارند و خارج نمودن اموال و دارايي ها ) به منظور كاهش ريسك دسترسي غير مجاز به اطلاعات و محافظت در برابر ضرر و زيان و خسارت ، لازم و ضروري خواهد بود. در اين ميان توجه به محل استقرار و نحوه دور ريختن تجهيزات نيز لازم و ضروري مي باشد. انجام اقدامات كنترلي ويژه به منظور محافظت در برابر تهديدات فيزيكي و حراست از مراكز پشتيباني از جمله زير ساختارهاي برق رساني و شبكه توزيع برق ، اجتناب ناپذير مي باشد.
10- مديريت ارتباطات و عمليات 1-10 مسئوليت ها رويه هاي عملياتي هدف :حصول اطمينان از عملكرد صحيح و ايمن مراكز پردازش اطلاعات. مسئوليت ها و رويه هاي اجرايي مديريت و عمليات كليه مراكز پردازش اطلاعات بايد به نحو مقتضي تعيين گردد. اين فرآيند ، تدوين رويه هاي عملياتي مناسب را نيز شامل مي گردد. تفكـيك وظايف بر حسب مورد بايد به مورد اجرا گذاشته شود تا به اين ترتيب ريسك ناشي از هرگونه بي مبالاتي و سوء استفاده تعمدي از سيستم كاهش يابد.
2-10 مديريت خدمات ارائه شده توسط اشخاص ثالث هدف : اجرا و حفظ سطح مناسب امنيت اطلاعات و ارائه خدمات طبق موافقت نامه هاي ارائه خدمات توسط اشخاص ثالث . سازمان ملزم خواهد بود تا بر حسن اجراي موافقت نامه ها نظارت داشته باشد و انطباق آنها با موافقت نامه ها را تحت نظارت خويش داشته باشد و مديريت تغييرات را بگونه اي انجام دهد كه از برآورده شدن تمامي الزامات توافق شده با اشخاص ثالث در زمينه ارائه خدمات اطمينان حاصل نمايد.
2-2-10 نظارت و بازنگري خدمات ارائه شده توسط اشخاص ثالث خدمات ، گزارشات و سوابقي كه توسط اشخاص ثالث در اختيار سازمان قرار داده مي شود ، بايد بطور منظم نظارت و مورد بازنگزي قرار داده شود و در فواصل زماني معين مميزي شوند.
3-10 برنامه ريزي و پذيرش سيستم هدف :به حداقل رساندن ريسك ناشي از خرابي هاي سيستم. حصول اطمينان از دسترس بودن ظرفيت و منابع كافي براي رسيدن به عملكرد مورد انتظـار از سيـستم مستلـزم آماده سـازي و برنامه ريزي پيشرفته مي باشد. به منظور كاهش ريسك ناشي از اضافه بار تحميلـي به سيستـم ، پيش بيني الزامات ظرفيت آتي لازم و اجتناب ناپذير خواهد بود. تعيين ، مستندسازي و تست الزامات عملياتي سيستم هاي جديد قبل از هر گونه اقدام در جهت پذيرش و استفاده از آنها، لازم و ضروري مي باشد.
4-10 محافظت در برابر كد هاي مخرب و موبايل هدف :محافظت و صيانت از تماميت نرم افزار و اطلاعات. در نظر گرفتن جنبه هاي تاميني براي شناسايي و جلوگيري از بكار بردن كد مخرب و كد غير مجاز موبايل. نرم افزار و مراكز پردازش اطلاعات در برابر ورود كد مخرب از جمله ويروس هاي كامپيوتري ، كرم هاي شبكه ، اسب هاي Trojan و بمب هاي منطقي آسيب پذير هستند و لذا كاربران بايد نسبت به ريسک هاي اين كدهاي مخرب آگاه و هوشيار باشند. و مديران ملزم خواهند بود تا بر حسب مورد ، اقدامات كنترلي لازم را در جهت جلوگيري ، شناسايي و حذف كدهاي مخرب و كنترل كد موبايل به مورد اجرا بگذارند.
6-10 مديريت امنيت شبكه هدف :حصول اطمينان از محافظت اطلاعات در شبكه ها و محافظت از زير ساختارهاي پشتيباني. مديريت ايمن شبكه ها كه مرزهاي سازماني را تحت پوشش قرار مي دهد ، مستلزم توجه دقيق به جريان داده ها ، مفاهيم و مضامين حقوقي ، نظارت و محافظت مي باشد. به منظور محافظت از اطلاعات حساسي كه از طريق شبكه هاي عمومي رد و بدل مي شوند ، به تدابير كنترلي بيشتري نياز خواهد بود.
7-10 نحوه استفاده از رسانه ها هدف : جلوگيري از افشاي غير مجاز ، جرح و تعديل ، حذف يا امحاي دارايي ها و هر گونه اختلال در فعاليت هاي كاري. رسانه ها بايد تحت كنترل قرار داشته و به صورت فيزيكي مورد محافظت قرار گيرند. تعيين رويه هاي عملياتي مناسب به منظور محافظت از اسناد ، رسانه هاي كامپيوتري ( به عنوان مثال نوارها و ديسكـت ها ) داده هاي ورودي يا خروجي و مستندات سيستم در برابر افشاي غير مجاز ، جرح و تعديل ، حذف و امحا ، لازم و اجتناب ناپذير مي باشد.
1-7-10 مديريت رسانه هايي كه قابل پاك شدن هستند تعيين و اجراي رويه هاي مربوط به مديريت رسانه هايي كه قابل پاك شدن هستند ، لازم و ضروري هستند 2-7-10 امحاء رسانه ها در صورتي كه ديگر نيازي به استفاده از رسانه ها نباشد ، لازم خواهد بود تا با رعايت نكات ايمني و امنيتي و با استفاده از رويه هاي رسمي نسبت به امحاي آنها اقدام شود.
3-7-10 رويه هاي جابجايي اطلاعات به منظور محافظت از اطلاعات در برابر افشاي غير مجاز يا هر گونه سوء استفاده ، لازم خواهد بود تا نسبت به تعيين رويـه هاي مربوط به جابجايـي و ذخيـره سازي اطلاعات مبادرت نمود. 4-7-10 امنيت مستندات سيستم مستندات سيستم بايد به نحو مقتضي در برابر هر گونه دسترسي غير مجاز محافظت شوند.
8-10 تبادل اطلاعات هدف :حفظ و تامين امنيت اطلاعات و نرم افزارهايي كه در داخل سازمان و با هر يك از موسسات و نهادهاي برون سازماني مبادله مي شوند. تبادل اطلاعات و نرم افزار بين سازمان ها بايد بر اساس خط مشي تبادل اطلاعات و مطابق با موافقت نامه هاي مربوطه انجام پذيرد و از هر حيث بايد مطابق با قوانين مربوطه باشد. تعيين و تبيين استانداردها و رويه هاي اجرايي به منظور محافظت از اطلاعات و رسانه هاي فيزيكي حاوي اطلاعات در حال انتقال لازم و ضروري مي باشد.
9-10 خدمات تجارت الكترونيك هدف :حصول اطمينان از امنيت خدمات تجارت الكترونيك و استفاده ايمن از آنها . مفاهيم امنيتي مربوط به استفاده از خدمات تجارت الكترونيك از جمله معاملات آنلاين و الزامات مربوط به اقدامات كنترلي از جمله مواردي هستند كه در اين حوزه بايد مورد ملاحظه قرار داده شوند. تماميت و دردسترس پذيري اطلاعاتي كه از طريق سيستم هاي دولتي موجود به صورت الكترونيكي منتشر مي شوند از ديگر مواردي است كه بايد مورد توجه قرار داده شوند.