ISO/IEC 27001. Managementul securității informației

Solicită ofertă
de certificare

031.108.96.53

office@rigcert.ro

ISO/IEC 27001 este unul dintre cele mai cunoscute standarde la nivel internațional referitoare la securitatea informației.

El poate fi implementat și certificat de către orice organizație, indiferent de activitatea, structura și dimensiunea sa.

 

RIGCERT oferă servicii de certificare acreditată conform ISO/IEC 27001:2013 ce vă ajută să ințelegeți mai bine riscurile de securitate, să vă imbunătățiți măsurile de control și să puteți demonstra respectarea cerințelor către orice parte interesată (clienți, parteneri, autorități, etc).

 

Acreditarea RIGCERT pentru certificarea sistemelor de management al securității informației.

Conceptul de securitatea informației

Securitatea informatiei este definita folosind triada C-I-A: confidentialitate (asigurarea ca informatia este disponibila numai celor autorizati); integritate (protejarea acuratetii si completitudinii informatiei) si disponibilitate (utilizatorii autorizati au acces la informatie atunci cand au nevoie).

La nivel international exista si alte si documente ce trateaza aspectele legate de securitatea informatiei precum cele elaborate de ISACA sau NIST.

Conform Organizatiei Internationale de Standardizare (ISO) “familia de standarde ISO 27000 ajuta organizatiile sa-si pastreze informatiile sigure”. Aceste informatii pot include printre altele proprietate intelectuala, informatii financiare, informatii privind angajatii, date legate de cercetare si dezvoltare sau informatii ce le sunt puse la dispozitie de terti.

Care sunt cerințele lui ISO/IEC 27001:2013?

ISO 27001 contine cerinte specifice de sistem de management si o anexa ce include 114 controale de securitatea informatiei grupate in 14 categorii distincte.
Descriem in continuare cerintele lui ISO/IEC 27001:2013 precum si categoriile de controale de securitatea informatiei continute in Anexa A a acestui standard.


Pentru a obtine conformitatea cu ISO 27001 organizatia trebuie sa se conformeze atat cerintelor standardului cat si controalelor de securitatea informatiei din Anexa A ce ii sunt aplicabile (avand in vedere specificul activitatii sale). In acelasi timp organizatia are libertatea de a stabili si implementa controale de securitatea informatiei suplimentare fata de cele continute in Anexa A.


Cerintele lui ISO 27001 sunt grupate in 7 capitole: contextul organizatiei, leadership, planificare, suport, operare, evaluarea performantei si imbunatatire.


Contextul organizatiei
– Organizatia trebuie sa identifice acele aspecte interne si externe care sunt relevante pentru scopul sau si care pot afecta sistemul sau de management al securitatii informatiei. Aspecte interne pot fi considerate – structura interna, echipamentele si tehnologia utilizate, competenta personalului, cultura organizationala, etc in vreme ce exemple de aspecte externe sunt: legislatia relevanta in domeniul securitatii informatiei, trendurile privind securitatea informatiei, piata si competitia, aspecte de natura economica si financiara, etc
– Este necesara identificarea partilor interesate si a nevoilor si asteptarilor relevante ale acestora (exemple de parti interesate pot fi: clienti, angajati, furnizori, comunitate, parteneri de afaceri, utilizatori finali ai produselor si serviciilor, etc)
– Organizatia trebuie sa defineasca domeniul de aplicare al ISMS – acele activitati si locatii incluse in sistemul de management al securitatii informatiei. Sistemul de management poate include toate activitatile si toate locatiile organizatiei sau, in functie de nevoile sale, compania poate decide sa aplice acest sistem doar pentru anumite activitati si/ sau structuri.


Leadership
– Conducerea organizatiei trebuie sa sustina sistemul de management si sa demonstreze angajamentul sau pentru securitatea informatiei.
– Managementul de varf trebuie sa defineasca o politica in domeniul securitatii informatiei ce trebuie comunicata in interiorul organizatiei si facuta publica partilor interesate, dupa caz.
– Este de asemenea atributul managementul sa aloce responsabilitati si autoritati pentru aspecte legate de securitatea informatiei in interiorul companiei.
Pentru functionarea sistemului de management al securitatii informatiei si pentru a obtine rezultate in urma utilizarii sale este vitala implicarea conducerii si suportul din partea acesteia.


Planificare
– Organizatia trebuie sa realizeze o evaluare a riscurilor privind securitatea informatiei. Alegerea metodologiei de evaluare este la latitudinea companiei. Evaluarea riscurilor trebuie actualizata ori de cate ori este necesar (ex. la aparitia de modificari in structura organizatiei, urmare a unor incidente de securitate, etc).
– Pornind de la rezultatele evaluarii riscurilor organizatia trebuie sa aplice un proces de tratare a riscurilor de securitatea informatiei prin aplicarea de controale de securitate.
– Este necesara documentarea unei declaratii de aplicabilitate care sa includa si sa justifice controalele de securitatea informatiei implementate precum si pe cele excluse (conform listei de controale din Anexa A a standardului).
– ISO/IEC 27001:2013 solicita organizatiei sa defineasca obiective in domeniul securitatii informatiei si sa planifice actiuni pentru realizarea acestora.


Suport
– Resursele necesare pentru implementarea sistemului de management al securitatii informatiei trebuie sa fie disponibile.
– Trebuie identificat necesarul de competenta pentru persoanele ce pot avea un impact asupra securitatii informatiei iar organizatia trebuie sa se asigure ca aceste persoane detin competenta necesara. In functie de necesitati, organizatia trebuie sa intreprinda actiuni pentru a asigura ca personalul sau este competent (ex. furnizarea de instruire in domeniul securitatii informatiei).
– Personalul trebuie sa fie constientizat cu privire la politica in domeniul securitatii informatiei, contributia fiecaruia la sistemul de management al securitatii informatiei, beneficiile performantei de securitate imbunatatite dar si implicatiile neconformarii cu cerintele de securitate.
– Organizatia trebuie sa se asigure ca exista procese de comunicare (interna si externa) eficiente cu privire la aspectele de securitatea informatiei.
– Sistemul de management al securitatii informatiei trebuie sa includa informatii documentate. Documentatia acestui sistem de management difera de la o organizatie la alta, in functie de dimensiunea, structura si specificul sau. Trebuie stabilite masuri de control al informatiei documentate in ceea ce priveste crearea si actualizarea (stabilirea unui format al documentelor, stabilirea suporturilor – hartie si/ sau electronic, analiza si aprobarea documentelor anterior utilizarii). In acelasi timp este necesar sa existe masuri de control in ceea ce priveste distributia in cadrul organizatiei, accesul la documentatie, regasirea usoara, pastrarea, protectia, controlul modificarilor si eliminarea documentelor atunci cand devin perimate. Aceste controale se refera atat la documentele elaborate intern cat si la cele de provenienta externa (ex. documente de la clienti, furnizori externi, etc).


Operare
– Cerintele standardului ISO/IEC 27001:2013 sunt pentru organizatie sa planifice, sa implementeze si sa controleze procesele necesare pentru a indeplini cerintele de securitatea informatiei.
– Modificarile planificate trebuie realizate in mod controlat pentru a evita afectarea securitatii informatiei iar procesele externalizate trebuie de asemenea controlate in ceea ce priveste aspectele de securitate.


Evaluarea performantei
– ISO 27001:2013 solicita organizatiei sa-si evalueze performanta privind securitatea informatiei precum si eficacitatea SMSI.
– La intervale planificate organizatia trebuie sa realizeze audituri interne pentru a se asigura ca sistemul de management se conformeaza cerintelor sale de securitate precum si standardului ISO/IEC 27001; este implementat si mentinut.
– Conducerea organizatiei trebuie sa analizeze periodic sistemul de management al securitatii informatiei pentru a se asigura ca acesta continua sa fie corespunzator, adecvat si eficace.
Imbunatatire
– Atunci cand sunt identificate neconformitati referitoare la securitatea informatiei organizatia trebuie sa reactioneze aplicand corectii (cu scopul de a controla neconformitatea si consecintele sale) si actiuni corective (menite a elimina cauzele neconformitatilor).
– ISO/IEC 27001:2013 solicita organizatiei sa isi imbunatateasca in mod continuu sistemul de management al securitatii informatiei.


Anexa A a standardului ISO/IEC 27001:2013
Categorii de controale


A5 – Politici de securitatea informatiei
– Trebuie sa existe politici de securitatea informatiei, aprobate de conducere si comunicate atat angajatilor cat si partilor externe relevante. Aceste politici trebuie analizate periodic precum si in cazul unor modificari semnificative in organizatie, pentru a confirma ca sunt in continuare adecvate.


A6 – Organizarea securitatii informatiei
– Trebuie definite si alocate personalului responsabilitati privind securitatea informatiei. Sarcinile si responsabilitatile conflictuale trebuie segregate (ex. initierea si autorizarea unor tranzactii).
– Organizatia trebuie sa mentina contactul cu autoritatile in aspecte legate de securitatea informatiei. Trebuie de asemenea sa existe contacte cu grupuri, forumuri sau asocitatii specializate in domeniul securitatii informatiei.
– Securitatea informatiei trebuie sa fie luata in considerare in project management indiferent de tipul proiectului.
– Utilizarea dispozitivelor mobile introduce riscuri semnificative privind securitatea astfel ca este necesara o politica sustinuta de masuri de securitate pentru a trata aceste riscuri.
– Daca organizatia utilizeaza teleworking-ul (lucrul din diverse locatii in afara sediilor – ex. de acasa, din locuri publice, etc) atunci este necesara stabilirea unei politici si a unor masuri de securitate care sa trateze riscurile asociate acestor practici.


A7 – Securitatea resurselor umane
– Organizatia trebuie sa realizeze verificari ale candidatilor pentru angajare, nivelul de detaliere fiind corelat cu nivelul de acces la informatii si riscurile de securitate asociate activitatilor postului. Contractele si documentele de angajare asociate trebuie sa specifice responsabilitatile referitoare la securitatea informatiei.
– Managementul trebuie sa solicite angajatilor si contractorilor sa aplice masurile de securitatea informatiei in conformitate cu politicile si procedurile organizatiei. Toti angajatii si contractorii trebuie sa fie constientizati cu privire la aspectele de securitatea informatiei.
– Trebuie sa existe si sa fie comunicat angajatilor un proces disciplinar aplicabil in cazul savarsirii de actiuni ce conduc la brese de securitate.
– Acele responsabiliati si sarcini legate de securitatea informatiei ce raman in vigoare si dupa terminarea sau schimbarea angajarii (ex. clauze de confidentialitate) trebuie definite, comunicate angajatilor si contractantilor si aplicate.


A8 – Managementul activelor
– Trebuie realizat un inventar al activelor organizatiei ce sunt asociate cu informatii sau facilitati de procesarea informatiei. Pentru activele inventariate trebuie stabiliti “proprietari” (persoane sau structuri din cadrul organizatiei).
– ISO 27001 solicita stabilirea, documentarea si implementarea de reguli privind utilizarea acceptabila a informatiilor si activelor asociate cu informatii sau facilitati de procesare a informatiei.
– Organizatia trebuie sa se asigure ca, la terminarea angajarii sau contractului, toti angajatii si contractorii inapoiaza activele apartinand companiei ce se afla in posesia lor.
– ISO 27001 solicita organizatiei sa defineasca si sa aplice un sistem de clasificare a informatiei tinand cont de aspecte precum valoarea acesteia, cerintele legale aplicabile sau sensibilitatea informatiei la modificare si acces neautorizat. Informatia trebuie etichetata in conformitate cu sistemul de clasificare stabilit.
– Pornind de la sistemul de clasificare a informatiei trebuie defininte reguli privind manipularea activelor organizatiei ce contin informatii.
– Organizatia trebuie sa stabileasca reguli/ proceduri pentru managementul mediilor amovibile (ex. HDD-uri externe, stick-uri USB, CD si DVD, etc) inclusiv reguli privind eliminarea acestora cand nu mai sunt utilizate; nu inainte de a verifica informatia continuta. Mediile amovibile aflate in tranzit trebuie protejate impotriva accesului neautorizat, utilizarii incorecte sau coruperii informatiilor continute.


A9 – Controlul accesului
– O politica privind controlul accesului (tratand atat accesul fizic cat si accesul la retele si aplicatii) trebuie stabilita si documentata.
– Organizatia trebuie sa se asigure ca utilizatorii au acces numai la retelele si serviciile de retea pe care sunt autorizati a le accesa.
– Trebuie sa fie definit si aplicat un proces formal de inregistrare a utilizatorilor pentru alocarea drepturilor de acces. Alocarea informatiilor de autentificare a utilizatorilor trebuie controlata.
– Drepturile de acces cu privilegii trebuie restrictionate si controlate.
– Organizatia trebuie sa se asigure ca la terminarea angajarii sau a contractului drepturile de acces ale anagajatilor sau contractantilor sunt inlaturate.
– Sistemul de management al parolelor trebuie sa genereze parole de calitate.
-Trebuie sa existe controale care restrictioneaza accesul utilizatorilor la codul sursa al programelor.


A10 – Criptografie
– Daca organizatia utilizeaza metode criptografice pentru a proteja confidentialitatea, autenticitatea si/ sau integritatea informatiei trebuie dezvoltata si implementata o politica privind utilizarea criptografiei; inclusiv cu privire la utilizarea, protectia si durata de viata a cheilor criptografice generate.


A11 – Securitate fizica si de mediu
– ISO/IEC 27001:2013 solicita organizatiei sa defineasca perimetre de securitate menite a proteja zonele unde se afla informatii sensibile sau critice. Accesul in aceste perimetre trebuie permis doar personalului autorizat.
– Este necesara aplicarea de masuri de securitate fizica pentru accesul in birouri si incaperi.
– Organizatia trebuie sa proiecteze si sa implementeze sisteme de protectie impotriva dezastrelor naturale, accidentelor sau atacurilor.
– Zonele de incarcare si descarcare (zone unde au acces persoane din exterior) trebuie controlate si, daca este posibil, izolate de sistemele de procesare a informatiei pentru a preveni accesul neautorizat.
– Echipamentul trebuie astfel pozitionat si protejat incat sa se reduca riscurile asociate fenomenelor meteo precum si cele legate de accesul neautorizat. Sisteme de protectie a echipamentelor in cazul caderilor de tensiune ar trebui sa existe.
– Organizatia ar trebui sa utilizeze sisteme de securitate a cablarii pentru a evita interceptarea informatiilor (utilizand de exemplu masuri de securitate referite generic prin termenul de TEMPEST) sau interferentele.
– Echipamentele trebuie intretinute conform specificatiilor pentru a asigura continua lor functionare la parametrii corespunzatori.
– Organizatia trebuie sa se asigure ca echipamentele nu sunt scoase in afara locatiilor fara o autorizare prealabila in acest sens. Atunci cand sunt insa scoase in afara locatiei echipamentele trebuie protejate avand in vedere riscurile la care sunt expuse.
– Atunci cand sunt eliminate echipamentele vor trebui verificate pentru a se asigura ca nu contin informatii sensibile sau software licentiat.
– ISO 27001 solicita dezvoltarea si aplicarea unei politici privind biroul si ecranul curate.


A12 – Securitatea operatiunilor
– ISO/IEC 27001 solicita existenta procedurilor de operare documentate si distributia acestora catre utilizatorii care le necesita.
– Modificarile in cadrul organizatiei si in cadrul proceselor afacerii trebuie controlate astfel incat impactul asupra securitatii sa nu fie unul negativ.
– Organizatia trebuie sa monitorizeze utilizarea resurselor sale si sa previzioneze nevoile viitoare pentru a asigura operarea optima.
– Mediile de dezvoltare, testare si cele operationale trebuie separate.
– Organizatia trebuie sa se asigure ca exista masuri de control pentru a detecta si preveni infectarea cu malware dar si pentru a facilita recuperarea in urma unei asemeni situatii.
– Organizatia trebuie sa realizeze copii de backup pe care sa le testeze pentru a se asigura ca pot fi utilizate la nevoie.
– Logurile activitatilor utilizatorilor (inclusiv erorile, exceptiile si evenimentele relevante pentru securitatea informatiei) trebuie inregistrate, pastrate si analizate. Aceste informatii trebuie protejate impotriva accesului neautorizat.
– Logurile administratorilor de sistem ar trebui inregistrate.
– Ceasurile tuturor sistemelor relevante de procesare a informatiei trebuie sincronizate.
– Organizatia trebuie sa se asigure ca exista proceduri pentru controlul instalarii de software pe sistemele operationale.
– ISO 27001 solicita organizatiei sa aiba mijloace prin care sa obtina la timp informatii privind posibile vulnerabilitati ale sistemelor utilizate pentru a putea evalua riscurile asociate si a reactiona.
– Activitatile de audit ale sistemelor informatice operationale trebuie astfel planificate si realizate incat impactul asupra proceselor afacerii sa fie minim.


A13 – Securitatea comunicatiilor
– Retelele trebuie astfel administrate si controlate incat informatia din sisteme si aplicatii sa fie protejata.
– Aspecte privind securitatea si cerinte referitoare la nivelul furnizarii serviciilor (i.e. SLA) trebuie incluse in contractele cu furnizorii de servicii de retea.
– Diferitele grupuri de servicii de informatii, utilizatori si sisteme informatice trebuie segregate in interiorul retelelor.
– Organizatia trebuie sa defineasca si sa aplice politici, proceduri si controale pentru a proteja informatia transferata indiferent de tipul echipamentelor de comunicatii utilizate.
– Informatia schimbata prin intermediul mesageriei electronice (ex. e-mail sau programe de instant messaging) trebuie protejata corespunzator.
– Intelegerile referitoare la confidentialitate si nedivulgare trebuie sa fie documentate si sa reflecte nevoile organizatiei de a-si proteja informatiile.


A14 – Achizitia,dezvoltarea si mentenanta sistemelor

– Aspectele referitoare la securitatea informatiei trebuie incluse in cerintele organizatiei pentru sisteme noi sau pentru imbunatatiri ale sistemelor existente.
– Informatia confidentiala transmisa prin retele publice (ex. in cazul platilor electronice) trebuie protejata de activitati frauduloase, interceptare sau modificari neautorizate.
– ISO/IEC 27001:2013 solicita organizatiei sa dezvolte si sa aplice reguli formale pentru dezvoltarea de software. De asemenea trebuie sa existe proceduri pentru implementarea si controlul schimbarilor. Ulterior schimbarilor la platformele de operare este necesara analiza aplicatiilor critice ale afacerii pentru a da asigurari ca securitatea nu este afectata.
– Organizatia ar trebui sa descurajeze prin reguli modificarile la pachetele software.
– ISO 27001 solicita organizatiei sa puna la dispozitie medii de dezvoltare sigure, in situatia in care aceasta dezvolta software in-house.
– Subcontractarea dezvoltarii de software trebuie controlata.
– Procesele de testare a produselor software trebuie sa se refere si la functionalitatile de securitate iar datele obtinute in urma testarii trebuie protejate corespunzator.


A15 – Relatiile cu furnizorii
– Organizatia trebuie sa agreeze cu furnizorii sai cerintele de securitate necesare pentru a trata riscurile implicate de accesul furnizorilor la activele sale.
– Cerintele de securitatea informatiei trebuie agreate cu fiecare furnizor ce acceseaza, proceseaza, stocheaza, sau furnizeaza echipamente si servicii IT. Aceste cerinte ar trebui sa se refere si la riscurile asociate cu lantul de furnizare al produselor si serviciilor achizitionate de organizatie.
– Organizatia trebuie sa monitorizeze si sa analizeze nivelul la care sunt livrate serviciile de catre furnizorii sai.


A16 – Managementul incidentelor de securitatea informatiei
– ISO/IEC 27001:2013 solicita organizatiei sa stabileasca proceduri si responsabilitati pentru a asigura un raspuns rapid la incidentele de securitatea informatiei.
– Incidentele privind securitatea trebuie raportate cat mai rapid cu putinta utilizand procese de comunicare eficiente.
– Organizatia trebuie sa solicite anagajatilor sai si contractorilor ce utilizeaza echipamentele sau serviciile sale sa inregistreze si sa raporteze orice vulnerabilitate identificata sau presupusa.
– Evenimentele legate de securitatea informatiei trebuie evaluate si trebuie stabilit daca ele reprezinta sau nu incidente de securitate.
– Organizatia trebuie sa raspunda la incidentele de securitatea informatiei si trebuie sa utilizeze informatiile colectate in urma unor asemenea evenimente pentru a reduce probabilitatea sau impactul unor viitoare incidente de securitate.


A17 – Continuitatea securitatii informatiei
– ISO 27001 solicita organizatiei sa includa aspectele legate de securitatea informatiei in managementul continuitatii, prin implementarea de controale care sa asigure ca securitatea este asigurata in situatia unor evenimente perturbatoare.
– Organizatia trebuie sa dispuna de suficienta redundanta a sistemelor sale de procesare a informatiei pentru a asigura functionarea optima.


A18 – Conformitate
– ISO 27001 solicita organizatiei sa identifice si sa actualizeze cerintele legale, contractuale si de reglementare referitoare la securitatea informatiei aplicabile.
– Organizatia trebuie sa aiba proceduri pentru a asigura conformitatea cu cerintele referitoare la proprietatea intelectuala si protectia datelor cu caracter personal.
– Criptografia trebuie utilizata in conformitate cu legislatia aplicabila (daca aceasta exista).
– Organizatiei ii este solicitat sa asigure evaluari independente ale securitatii informatiei la intervale planificate si ori de cate ori apar modificari ce pot afecta securitatea.
– Managerii trebuie sa evalueze conformitatea procedurilor aplicabile in zonele lor de responsabilitate cu politicile, standardele si cerintele de securitate definite de catre organizatie.


Acestea sunt pe scurt cerintele relevante ale standardului ISO/IEC 27001:2013. Unele controale de securitate ar putea sa nu fie aplicabile datorita activitatii organizatiei si desigur pot fi definite si implementate controale suplimentare fata de cele enumerate mai sus.

Certificarea ISO 27001

ISO/IEC 27001 este aplicabil atat pentru organizatii de dimensiuni mari cat si pentru afaceri mici care doresc sa demonstreze ca detin masuri de control pentru a proteja informatiile pe care le proceseaza sau stocheaza.

ISO/IEC 27001 poate fi integrat desigur cu alte standarde de sistem de management precum ISO 9001 sau ISO 22301, de exemplu.

 

Pentru a obtine o oferta de certificare te rugam completeaza formularul de mai jos cu cateva informatii si trimite-ni-l.


Daca vrei sa intelegi care sunt cerintele lui ISO 27001, inclusiv cele 114 controale de securitatea informatiei te invitam sa incerci cursul nostru online gazduit pe platforma Udemy.

Am pregatit si un mic quiz cu cateva intrebari legate de acest standard, daca vrei sa iti testezi cunostintele.

Distreaza-te cu quiz-ul nostru din cerintele ISO/IEC 27001:2013!

Incepe quiz-ul

Cerere de oferta

 

Care sunt elementele componente ale ciclului P-D-C-A?
Ce înseamnă o cerință declarată neaplicabilă conform ISO 9001:2015?
Care dintre următoarele acțiuni pot fi considerate activități post-livrare conform ISO 9001:2015?
Care este frecvența solicitată de ISO 9001:2015 pentru realizarea auditurilor interne?
Care dintre următoarele afirmații este adevărată?

1. Care este relația între aspecte de mediu și impacturi asupra mediului?
2. Care afirmație este adevărată conform ISO 14001:2015?
3. Acțiunea corectivă este?
4. Conform ISO 14001:2015 obligațiile de conformare se referă la
5. Pentru determinarea aspectelor de mediu ciclul de viață al unui produs poate include etape precum:

1. Politica în domeniul sănătății și securității ocupaționale
2. Ce reprezintă un “near-miss”?
2. OHSAS 18001 solicită:
4. Care dintre următoarele afirmații este falsă?
5. Conform OHSAS 18001 sănătatea și securitatea vizitatorilor la locul de muncă este în responsabilitatea organizației?

1. Ce reprezintă declarația de aplicabilitate?
2. În situația în care aceeași persoană este responsabilă atât pentru inițierea cât și pentru aprobarea unor tranzacții ce control de securitatea informației este încalcat?
3. În situația în care subcontractează dezvoltarea de software organizația are responsabilitatea de a monitoriza activitatea subcontractanților sub aspectul securității informației?
4. Decizia de a accepta un risc de securitatea informației este o opțiune posibilă de tratare?
5. La ce se referă principiul independenței în cazul auditurilor interne?