ISO/IEC 27001
ISO/IEC 27001 – Managementul Securității Informației
La nivel international ISO/IEC 27001: 2013 (SR EN ISO/IEC 27001:2018 – Standard roman) este cel mai cunoscut standard din cadrul seriei 27000 – standarde concepute de ISO pentru a ajuta organizatiile sa gestioneze securitatea informatiilor.
ISO/IEC 27001:2013, primul standard ISO pentru sisteme de management care a adoptat Anexa SL a Directivelor ISO – Structura de nivel inalt (High Level Structure), poate fi aplicat oricarui tip de organizatie din sectorul public sau privat, comerciala sau non-profit, indiferent de marime, structura, produse sau servicii oferite deoarece fiecare dintre ele colecteaza, prelucreaza, stocheaza sau transmite informatii in forme diverse, de la cele electronice pana la cele verbale.
Acest standard specifica cerintele pentru stabilirea, implementarea, mentinerea si imbunatatirea continua a unui sistem de management al securitatii informationale luand in considerare contextul organizatiei (marime si structura, procese specifice, nevoi si obiective, cerinte de securitate, cerinte parti interesate – legi si reglementari noi etc).
Conform standardului ISO/IEC 27002:2013 “Tehnologia informatiei. Tehnici de securitate. Cod de buna practica pentru managementul securitatii informatiei”, este deosebit de important ca organizatia sa-si identifice propriile cerinte de securitate avand in vedere urmatoarele surse:
evaluarea riscurilor pentru organizatie plecand de la strategia si obiectivele generale de afaceri;
cerinte statutare, de reglementare sau contractuale pe care trebuie sa le indeplineasca organizatia, dar si partenerii comerciali, subcontractorii sau furnizorii de servicii;
principii, obiective si cerinte de afaceri pentru utilizarea, prelucrarea, stocarea, comunicarea si arhivarea informatiilor organizatiei.
Implementarea sistemului de management al securitatii informatiei urmareste pastrarea confidentialitatii, integritatii si disponibilitatii informatiilor prin aplicarea unui proces de management al riscului si confera incredere partilor interesate ca riscurile sunt gestionate corespunzator.
Structura globală de Management
Implementarea sistemului de management al securitatii informatiei urmareste pastrarea confidentialitatii, integritatii si disponibilitatii informatiilor prin aplicarea unui proces de management al riscului si confera incredere partilor interesate ca riscurile sunt gestionate corespunzator.
Adoptarea unui sistem de management al securitatii informatiei trebuie sa fie o decizie strategica fiind foarte important ca acest sistem sa fie parte integranta din procesele si structura globala de management, iar securitatea informatiei sa fie luata in considerare atunci cand se proiecteaza procesele, sistemele informationale sau mijloacele de control.
Adoptarea standardului ISO/IEC 27001:2013 presupune implementarea unui set adecvat de mijloace de control cum ar fi politici, procese, proceduri, structuri organizatorice si functii software si hardware plecand de la evaluarea si tratarea riscurilor de securitate a informatiilor din organizatie. Evaluarea riscurilor informationale are ca scop identificarea amenintarilor asupra resurselor, stabilirea vulnerabilitatilor la acestea si a probabilitatii de aparitie.
Implementarea eficace si certificarea sistemului de management al securitatii informatiei in conformitate cu ISO/IEC 27001:2013 (SR EN ISO/IEC 27001:2018) garanteaza managementului organizatiei si celorlalte parti interesate ca resursele organizatiei (informatii scrise, imagini, cunostinte organizationale, concepte, marci etc) sunt securizate si protejate in mod rezonabil impotriva daunelor, favorizand astfel succesul durabil al organizatiei.