Ce este ISO 27001?

ISO 27001 (ISO / IEC 27001: 2013) este standardul international care furnizeaza specificatia pentru un sistem de management al securitatii informatiilor (ISMS). Cea mai recenta versiune a fost publicata in octombrie 2013.

Standardul este conceput pentru a ajuta organizatiile sa isi gestioneze procesele de securitate a informatiilor in conformitate cu cele mai bune practici internationale, optimizand in acelasi timp costurile. Este neutru din punct de vedere tehnologic si al vanzatorilor si se aplica tuturor organizatiilor – indiferent de marimea, tipul sau natura lor. Pentru a obtine aceasta certificare, organizatiile pot accesa cu incredere site-ul https://www.certificareiso.ro, iar specialistii ii pot ajuta in obtinerea certificarii.

De ce a fost dezvoltat ISO 27701?

GDPR-ul UE (Regulamentul general privind protectia datelor) 2018 impune organizatiilor sa ia masuri pentru a asigura confidentialitatea oricaror date cu caracter personal pe care le prelucreaza. Cu toate acestea, niciun regulament nu ofera prea multe orientari cu privire la aspectul acelor masuri.

Prin urmare, ISO (Organizatia Internationala pentru Standardizare) si IEC (Comisia Internationala Electrotehnica) au dezvoltat acest nou standard pentru a oferi aceste orientari.

Cum se integreaza ISO 27001 si ISO 27701 intre ele?

ISO 27001 stabileste cerintele pentru un ISMS (sistem de gestionare a securitatii informatiilor), o abordare bazata pe riscuri care cuprinde oameni, procese si tehnologie. Certificarea acreditata in mod independent ISO 27001 ofera partilor interesate asigurarea ca datele sunt securizate in mod corespunzator.

Organizatiile care au implementat ISO 27001 vor putea utiliza ISO 27701 pentru a-si extinde eforturile de securitate pentru a acoperi gestionarea confidentialitatii – inclusiv prelucrarea datelor cu caracter personal / PII (informatii de identificare personala) – ceea ce le poate ajuta sa demonstreze ca au fost luate masuri rezonabile pentru a se conforma cu legile privind protectia datelor, cum ar fi GDPR.

Organizatiile fara ISMS pot implementa ISO 27001 si ISO 27701 impreuna ca un proiect de implementare unic.

Ce este un ISMS?

Un ISMS ofera o abordare sistematica a gestionarii securitatii informatiilor. Este format din politici, proceduri si alte controale care implica oameni, procese si tehnologie pentru a ajuta organizatiile sa-si protejeze si sa gestioneze toate datele lor.

ISO 27001 si gestionarea riscurilor

ISO 27001 subliniaza importanta gestionarii riscurilor, care constituie piatra de temelie a unui ISMS. Toate proiectele ISO 27001 evolueaza in jurul unei evaluari a riscului de securitate a informatiilor – un proces formal, de conducere, care ofera baza unui set de controale care ajuta la gestionarea riscurilor de securitate a informatiilor.

Prin implementarea unui ISMS compatibil ISO 27001, organizatiile vor putea sa asigure informatiile sub toate formele sale, sa-si sporeasca rezistenta la atacurile cibernetice, sa se adapteze la evolutia amenintarilor de securitate si sa reduca costurile asociate securitatii informatiilor.

Clauze si controale ISO 27001

Parte a familiei de standarde ISO 27000, ISO 27001 consta din 114 controale (din anexa A) si 10 clauze ale sistemului de management care sustin impreuna implementarea si mentinerea unui ISMS. In timp ce ISO 27001 ofera specificatia, Standardul este acceptat de codul sau de practica pentru gestionarea securitatii informatiilor, ISO / IEC 27002: 2013.

• ISO / IEC 27001: 2013 controale
• A.5 Politici de securitate a informatiilor;
• A.6 Organizarea securitatii informatiilor;
• A.7 Securitatea resurselor umane;
• A.8 Gestionarea activelor;
• A.9 Controlul accesului;
• A.10 Criptografie;
• A.11 Securitatea fizica si de mediu;
• A.12 Securitate operationala;
• A.13 Securitatea comunicatiilor;
• A.14 Achizitie, dezvoltare si intretinere de sistem;
• A.15 Relatii cu furnizorii;
• A.16 Managementul incidentelor de securitate a informatiilor;
• A.17 Aspecte privind securitatea informatiilor in managementul continuitatii afacerii;
• A.18 Conformitate.

Beneficiile ISO 27001

ISO 27001 este unul dintre cele mai populare standarde de securitate a informatiilor din lume, certificarile crescand cu peste 450% in ultimii zece ani. Este recunoscut la nivel mondial ca reper pentru o buna practica de securitate si permite organizatiilor sa obtina certificarea acreditata printr-un organism de certificare acreditat dupa finalizarea cu succes a unui audit.

ISO 27001 sustine conformitatea cu o serie de legi, inclusiv GDPR UE (Regulamentul general privind protectia datelor) si Regulamentele NIS (Reglementari privind retelele si sistemele de informatii).

Demonstrarea conformitatii GDPR cu ISO 27001 si ISO 27701

ISO / IEC 27701: 2019 este o extensie la ISO 27001, care isi extinde cerintele pentru a acoperi gestionarea confidentialitatii – inclusiv prelucrarea datelor cu caracter personal / PII (informatii de identificare personala).

Implementarea atat a ISO 27701 cat si a ISO 27001 va va permite sa indepliniti cerintele de confidentialitate si securitate a informatiilor din GDPR UE si alte regimuri de protectie a datelor si sa demonstrati ca aveti dispozitii de gestionare pentru „masuri tehnice si organizatorice adecvate” pentru protejarea datelor personale prelucrati si mentineti drepturile persoanelor vizate, in conformitate cu principiul responsabilitatii GDPR al UE.

Cum sa implementati un ISMS compatibil ISO 27001

Implementarea unui ISMS compatibil ISO 27001 implica mai multe etape, dintre care urmatoarele sunt cele mai importante:

• Scopul proiectului;
• Asigurarea angajamentului si a bugetului;
• Identificati partile interesate si cerintele legale, de reglementare si contractuale;
• Efectuati o evaluare a riscurilor;
• Examinati si implementati controalele necesare;
• Dezvoltati competenta interna;
• Dezvoltati documentatia corespunzatoare;
• Desfasurarea instruirii personalului;
• Masurati, monitorizati, revizuiti si auditati permanent ISMS;
• Obtineti certificarea.