ISO/IEC 27001 reprezinta standardul international de securitate a informatiei, publicat de catre Organizatia Internationala de Standardizare (ISO) si Comisia Electrotehnica Internationala (IEC). Acesta este o specificatie pentru un sistem de management al securitatii informatiei (SMSI). Un SMSI este un cadru de polite si proceduri ce includ toate controalele fizice, tehnice si legale implicate in procesele de management al riscului informatiilor dintr-o organizatie.
Cu alte cuvinte, ISO 27001 a fost dezvoltat pentru a oferi un model pentru implementarea, operarea, mentinerea si imbunatatirea unui sistem de management al informatiei ce va asigura securitatea informatiilor din cadrul organizatiei.
In cadrul unei companii, informatiile circula constant intre departamente, in diverse forme – printate sau scrise pe hartie, prin mail, prin prezentari, in conversatii directe sau telefonice samd. Intr-un mediu de afaceri competitiv, protejarea datelor este o necesitate reala. Fie ca este vorba despre surse interne, externe, accidentale sau rau-voitoare, informatiile pot fi transmise mai departe.
Pentru a evita astfel de situatii exista aceasta certificare ISO 27001, ce ofera o politica de Securitate a informatiei pentru orice organizatie doreste sa-si protejeze datele. Din acest motiv, standardul a devenit unul dintre cele mai cautate si vandute.
Un certificat ISO 27001 foloseste o abordare bazata pe risc si defineste un proces de planificare impartit in 6 parti:
- Definirea unei polite de Securitate;
- Definirea unei raze de actiune a SMSI;
- Efectuarea unei evaluari de risc;
- Gestionarea riscurilor identificate;
- Selectarea obiectivelor de control si controalele ce trebuie implementate;
- Pregatirea unei declaratii de aplicabilitate.
Standardul cuprinde detalii despre documentatia ce trebuie facuta, responsabilitatea managementului, audituri interne si actiuni de prevenire si corectare a riscurilor si problemelor ce pot surveni. Pentru o buna functionare si aplicare a cerintelor, toate departamentele unei organizatii trebuie sa coopereze intre ele.
Scopurile pe care le urmareste certificarea ISO 27001 sunt:
- protejarea datelor angajatilor si clientilor organizatiei;
- gestionarea eficienta a riscurilor la adresa securitatii informatiilor;
- conformarea cu reglementari internationale privind protectia datelor;
- protejarea imaginii companiei.
Standardul ISO 27001 are zece sectiuni care acopera
- Domeniul de aplicare a standardului;
- Cum se efectueaza referinte in documente;
- Reutilizarea de termeni si definitii din ISO/IEC 27000;
- Contextul organizational si partile interesate;
- Sprijinul la nivelul cel mai inalt al conducerii pentru securitatea informatiei si politica organizatiei;
- Planificarea unui sistem de management al securitatii informatiei, evaluarea riscurilor si adoptarea actiunilor de corectare;
- Sprijinirea unui sistem de management al securitatii informatiei
- Realizarea unui sistem de management al securitatii informatiei operationale;
- Revizuirea performantei sistemului;
- Adoptarea actiunilor de corectare.
ISO 27001 are in prezent 114 masuri de control si obiective de securitate care sunt repartizate in 14 grupe, dupa cum urmeaza:
- A.5: Politici de securitate a informatiei (2 masuri de control);
- A.6: Organizarea securitatii informatiei (7 masuri de control);
- A.7: Securitatea resurselor umane (6 masuri de control, aplicabile oricand inainte, in timpul sau dupa angajare);
- A.8: Managementul resurselor (10 masuri de control);
- A.9: Controlul accesului (14 masuri de control);
- A.10: Criptografie (2 masuri de control);
- A.11: Securitatea fizica si cea a mediului (15 masuri de control);
- A.12: Operatiuni de securitate (14 masuri de control);
- A.13: Securitatea comunicatiilor (7 masuri de control);
- A.14: Achizitii de sistem, dezvoltare si intretinere (13 masuri de control);
- A.15: Relatiile cu furnizorii (5 masuri de control);
- A.16: Managementul incidentelor de securitate a informatiei (7 masuri de control);
- A.17: Aspecte de securitate de informare ale managementului continuitatii afacerii (4 masuri de control);
- A.18: Conformitatea cu cerintele interne, precum politicile, si cu cerintele externe, precum legile (8 masuri de control).
