ISO 27001 (cunoscut oficial ca ISO / IEC 27001: 2005) este o specificatie pentru un sistem de management al securitatii informatiilor (ISMS). ISMS este un cadru de politici si proceduri care include toate controalele legale, fizice si tehnice implicate in procesele de gestionare a riscurilor informationale ale unei organizatii.
Conform documentatiei sale, ISO 27001 a fost dezvoltat pentru a „oferi un model pentru stabilirea, implementarea, operarea, monitorizarea, revizuirea, mentinerea si imbunatatirea unui sistem de gestionare a securitatii informatiilor”.
ISO 27001, dupa cum puteti descoperi si cand accesati certificareiso.ro/certificat-iso-27001, in vederea obtinerii certificarii, utilizeaza o abordare topdown, bazata pe riscuri si este neutra din punct de vedere tehnologic. Specificatia defineste un proces de planificare in sase parti:
- Definiti o politica de securitate.
- Definiti domeniul de aplicare al ISMS.
- Efectuati o evaluare a riscurilor.
- Gestionati riscurile identificate.
- Selectati obiectivele de control si controalele care urmeaza sa fie implementate.
- Pregatiti o declaratie de aplicabilitate.
Specificatia include detalii privind documentatia, responsabilitatea managementului, auditurile interne, imbunatatirea continua si actiuni corective si preventive. Standardul necesita cooperare intre toate sectiunile unei organizatii.
Standardul 27001 nu garanteaza controale specifice de securitate a informatiilor, dar ofera o lista de verificare a controalelor care ar trebui luate in considerare in codul de practica insotitor, ISO / IEC 27002: 2005. Acest al doilea standard descrie un set cuprinzator de obiective de control al securitatii informatiilor si un set de controale de securitate de buna practica general acceptate.
ISO 27002 contine 12 sectiuni principale:
- Evaluarea riscurilor;
- Politica de securitate;
- Organizarea securitatii informatiilor;
- Managementul activelor;
- Securitatea resurselor umane;
- Securitatea fizica si de mediu;
- Managementul comunicatiilor si operatiunilor;
- Controlul accesului;
- Achizitionarea, dezvoltarea si intretinerea sistemelor informationale;
- Managementul incidentelor in domeniul securitatii informatiei;
- Managementul continuitatii afacerii;
- Conformitate.
Organizatiile sunt obligate sa aplice aceste controale in mod corespunzator, in conformitate cu riscurile lor specifice. Certificarea terta parte acreditata este recomandata pentru conformitatea ISO 27001.
Alte standarde dezvoltate in familia 27000 sunt:
- 27003 – ghid de implementare.
- 27004 – un standard de masurare a managementului securitatii informatiilor care sugereaza metrici care sa contribuie la imbunatatirea eficacitatii unui ISMS.
- 27005 – un standard de management al riscului pentru securitatea informatiilor (Publicat in 2008).
- 27006 – ghid pentru procesul de certificare sau inregistrare pentru organismele de certificare sau de inregistrare ISMS acreditate. (Publicat in 2007)
- 27007 – Ghid de audit ISMS.
Cum se implementeaza ISO 27001
Pentru a implementa ISO 27001 in compania dvs., trebuie sa urmati acesti 16 pasi:
1) Obtineti sprijin de management de top;
2) Utilizati metodologia de gestionare a proiectului;
3) Definiti domeniul de aplicare ISMS;
4) Scrieti politica de securitate a informatiilor la nivel inalt;
5) Definiti metodologia de evaluare a riscului;
6) Efectuati evaluarea riscului si tratamentul riscului;
7) Scrieti declaratia de Aplicabilitate;
8) Scrieti planul de tratare a riscurilor;
9) Definiti modul de masurare a eficacitatii controalelor dvs. si a ISMS-ului dvs.;
10) Implementati toate controalele si procedurile aplicabile;
11) Implementati programe de formare si constientizare;
12) Efectuati toate operatiunile zilnice prescrise de documentatia dvs. ISMS;
13) Monitorizati si masurati ISMS-ul dvs.;
14) Efectuati audit intern;
15) Efectuati revizuirea managementului;
16) Implementati actiuni corective.
Documentatie obligatorie
ISO 27001 necesita scrierea urmatoarei documentatii:
- Domeniul de aplicare al ISMS (clauza 4.3);
- Politica si obiectivele privind securitatea informatiilor (clauzele 5.2 si 6.2);
- Metodologia evaluarii riscurilor si a tratamentului riscurilor (clauza 6.1.2);
- Declaratie de aplicabilitate (clauza 6.1.3 d);
- Planul de tratare a riscurilor (clauzele 6.1.3 e si 6.2);
- Raport de evaluare a riscurilor (clauza 8.2);
- Definirea rolurilor si responsabilitatilor de securitate (clauzele A.7.1.2 si A.13.2.4);
- Inventarul activelor (clauza A.8.1.1);
- Utilizarea acceptabila a activelor (clauza A.8.1.3);
- Politica de control de acces (clauza A.9.1.1);
- Proceduri de operare pentru managementul IT (clauza A.12.1.1);
- Principii sigure de inginerie a sistemului (clauza A.14.2.5);
- Politica de securitate a furnizorilor (clauza A.15.1.1);
- Procedura de gestionare a incidentelor (clauza A.16.1.5);
- Proceduri de continuitate a afacerii (clauza A.17.1.2);
- Cerinte legale, de reglementare si contractuale (clauza A.18.1.1);
Si acestea sunt inregistrarile obligatorii:
- Inregistrari de pregatire, abilitati, experienta si calificari (clauza 7.2);
- Monitorizarea si masurarea rezultatelor (clauza 9.1);
- Programul de audit intern (clauza 9.2);
- Rezultatele auditurilor interne (clauza 9.2);
- Rezultatele revizuirii managementului (clauza 9.3);
- Rezultatele actiunilor corective (clauza 10.1);
- Jurnalele activitatilor utilizatorului, exceptii si evenimente de securitate (clauzele A.12.4.1 si A.12.4.3);
- Desigur, o companie poate decide sa scrie documente suplimentare de securitate daca considera ca este necesar.
Cum sa obtineti certificarea
Exista doua tipuri de certificate ISO 27001: (a) pentru organizatii si (b) pentru persoane fizice. Organizatiile pot obtine certificate pentru a dovedi ca sunt conforme cu toate clauzele obligatorii ale standardului; persoanele fizice pot participa la curs si vor sustine examenul pentru a obtine certificatul.
Pentru ca o organizatie sa devina certificata, trebuie sa implementeze standardul asa cum este explicat in sectiunile anterioare, apoi sa parcurga auditul de certificare efectuat de organismul de certificare. Auditul de certificare se realizeaza in urmatoarele etape:
- Auditul din etapa 1 (revizuirea documentatiei) – auditorii vor examina toata documentatia.
- Auditul din etapa 2 (Auditul principal) – auditorii vor efectua un audit la fata locului pentru a verifica daca toate activitatile dintr-o companie sunt conforme cu ISO 27001 si cu documentatia ISMS.
Vizite de supraveghere – dupa eliberarea certificatului, pe durata valabilitatii sale de 3 ani, auditorii vor verifica daca compania isi pastreaza ISMS.
Persoanele fizice pot merge pentru mai multe cursuri pentru a obtine certificate – cele mai populare sunt:
- Curs de auditor principal ISO 27001 – acest curs de 5 zile va va invata cum sa efectuati audituri de certificare si este destinat auditorilor si consultantilor.
- Curs de implementare a plumbului ISO 27001 – acest curs de 5 zile va va invata cum sa implementati standardul si este destinat practicienilor de securitate a informatiilor si consultantilor.
- Cursul de auditor intern ISO 27001 – acest curs de 2 sau 3 zile va va invata elementele de baza ale standardului si modul de efectuare a unui audit intern – este destinat incepatorilor in acest subiect si auditorilor interni.