Business

Ce este standardul ISO 27001?

January 7, 2020 by 0 Comments

ISO/IEC 27001:2013, dupa cum puteti vedea si pe https://www.certificareiso.ro/certificat-iso-27001,  este un standard international de securitate a informatiei, care a fost publicat pe 25 septembrie 2013.

El anuleaza si inlocuieste ISO/IEC 27001:2005, si este publicat de catre Organizatia Internationala de Standardizare (ISO) si Comisia Electrotehnica Internationala (IEC) in comun cu subcomitetul ISO si IEC, ISO/IEC JTC 1/SC 27, care este o specificatie pentru un sistem de management al securitatii informatiei (SMSI).

Organizatiile care se conformeaza cu acest standard pot fi acreditate/certificate de catre un acreditor independent/organism de certificare.

Structura standardului

Titlul oficial al standardului este “Tehnologia Informatiei – Tehnici de securitate – Sisteme de management al securitatii informatiei – Cerinte”.

27001: 2013 are zece sectiuni scurte, plus o anexa lunga, care acopera:

  1. Domeniul de aplicare a standardului;
  2. Cum se efectuiaza referinte in documente;
  3. Reutilizarea termeni si definitii din ISO/IEC 27000;
  4. Context organizational si partile interesate;
  5. Sprijin la nivel cel mai inalt al conducerei pentru securitate informatiei si politica organizatiei;
  6. Planificarea unui sistem de management al securitatii informatiei; evaluarea riscurilor; tratarea riscului;
  7. Sustinerea unui sistem de management al securitatii informatiei;
  8. Crearea unui sistem de management al securitatii informatiei operationale;
  9. Revizuirea performantei sistemului;
  10. Actiune corectiva.

Anexa A: Lista de control si a obiectivelelor.

Aceasta structura reflecta structura de alte standarde noi de management, cum ar fi ISO 22301 (managementul continuitatii afacerii); acest lucru ajuta organizatiile care au scopul de a se conforma cu standarde multiple, pentru imbunatatirea serviciilor IT din punct de veder a perspectivelor diferite.

  • Anexele B si C de 27001: 2005 au fost eliminate.

Modificarile standardului ISO/IEC 27001:2005

Noul standard pune accent mai mult pe masurarea si evaluarea eficientei efectuarii sistemului de management al securitatii informatieiunei; exista o noua sectiune pe outsourcing, ceea ce reflecta faptul ca multe organizatii se bazeaza pe terte parti pentru a furniza anumite aspecte ale IT.

Ea nu pune accent pe ciclul Plan-Do-Check-Act, cum era in standardul vechi 27001:2005. Alte procese de imbunatatire continua, cum ar fi metoda DMAIC (define, measure, analyze, improve, control), pot fi puse in aplicare. Mai multa atentie este acordata in contextul organizational al securitatii informationale, si s-a schimbat abordarea de evaluare a riscurilor.

In general, 27001:2013 este conceput pentru a se potrivi mai bine alaturi de alte standarde de management, cum ar fi ISO 9000 si ISO 20000, si are mai multe puncte comune cu ele.

Masuri de control si obiective de securitate noi:

  • A.6.1.5 Securitatea informatiilor in managementul de proiect.
  • A.12.6.2 Restrictii pentru instalarea software-ului.
  • A.14.2.1 Politici de dezvoltare in conditii de siguranta.
  • A.14.2.5 Principii de inginerie sigura de sistem.
  • A.14.2.6 Mediu de dezvoltare in conditii de siguranta.
  • A.14.2.8 Testare in conditii de siguranta a securitatii sistemului.
  • A.15.1.1 Politica de securitate Informatii pentru relatiile cu furnizorii.
  • A.15.1.3 Tehnologia de informatie si comunicare cu terti.
  • A.16.1.4 Evaluarea deciziilor cu privire la evenimentele de securitate a informatiei.
  • A.16.1.5 Raspuns la incidente de securitate a informatiei.
  • A.17.2.1 Disponibilitatea facilitatilor de prelucrare a informatiei.

Masuri de control si obiective de securitate

Sectiunea 6.1.3 descrie modul in care o organizatie poate raspunde riscurilor cu un plan de tratare a riscurilor; o parte importanta a acestei este alegerea controalelor corespunzatoare.

Aceste masuri de control si obiective de securitate, sunt enumerate in anexa A, desi este posibil pentru organizatii de a alege alte masuri de control si obiective de securitate suplimentare.

Exista in prezent 114 de masuri de control si obiective de securitate in 14 grupe; standardul vechi a avut 133 de masuri de control si obiective de securitate in 11 grupuri.

  • A.5: Politici de securitate de informatii (2 masuri de control si obiective de securitate).
  • A.6: Organizarea securitatii informatiei (7 masuri de control si obiective de securitate).
  • A.7: Securitatea resurselor umane – 6 masuri de control si obiective de securitate care sunt aplicabile inainte, in timpul, sau dupa angajare.
  • A.8: Managementul resurselor (10 masuri de control si obiective de securitate).
  • A.9: Controlul accesului (14 masuri de control si obiective de securitate).
  • A.10: Criptografie (2 masuri de control si obiective de securitate).
  • A.11: Securitatea fizica si a mediului (15 masuri de control si obiective de securitate).
  • A.12: Operatiuni de securitate (14 masuri de control si obiective de securitate).
  • A.13: Securitate comunicatiilor (7 masuri de control si obiective de securitate).
  • A.14: Achizitii de sistem, dezvoltare si intretinere (13 masuri de control si obiective de securitate).
  • A.15: Relatiile cu furnizorii (5 masuri de control si obiective de securitate).
  • A.16: Managementul incidentelor de securitate a informatiei (7 masuri de control si obiective de securitate).
  • A.17: Aspecte de securitate de informare ale managementului continuitatii afacerii (4 masuri de control si obiective de securitate).
  • A.18: Conformitatea cu cerintele interne, cum ar fi politicile, si cu cerintele externe, cum ar fi legile (8 masuri de control si obiective de securitate).
  • Masurile de control si obiective de securitate, noi si actualizate, reflecta modificari in tehnologii care pot afecta mai multe organizatii – de exemplu, Cloud.
Tags:

Author

Leave a Reply