Andrea Giesler | 3 iunie 2019

Standardul ISO 27001 oferă cerințe și un structură care va oferi îndrumări în implementarea unui sistem de management al securității informațiilor (ISMS). Ca sistem de management, ISO 27001 se bazează pe îmbunătățirea continuă – în acest articol, veți afla mai multe despre modul în care acest lucru se reflectă în cerințele și structura ISO 27001.

Două părți principale ale standardului

Standardul este separat în două părți. Prima parte principală constă din 11 clauze (0-10). A doua parte, numită anexa A, oferă o orientare pentru 114 obiective și controale de control. Clauzele de la 0 la 3 (Introducere, Domeniu de aplicare, Referințe normative, Termeni și definiții) stabilesc introducerea standardului ISO 27001. Următoarele clauze 4-10, care furnizează cerințe ISO 27001 care sunt obligatorii în cazul în care compania dorește să fie conformă cu standardul, sunt examinate mai detaliat în acest articol.

Anexa A la standard susține clauze și cerințele acestora cu o listă de controale care nu sunt obligatorii, dar care sunt selectate ca parte a procesului de gestionare a riscurilor. Pentru mai multe informații, citiți articolul Logica de bază a ISO 27001: Cum funcționează securitatea informațiilor?

Clauza 4: Contextul organizației

O condiție prealabilă pentru implementarea cu succes a unui sistem de management al securității informațiilor este înțelegerea contextului organizației. Problemele externe și interne, precum și părțile interesate, trebuie identificate și luate în considerare. Cerințele pot include probleme de reglementare, dar pot, de asemenea, să depășească mult.

Având în vedere acest lucru, organizația trebuie să definească domeniul de aplicare al ISMS. Cât de extins va fi aplicat ISO 27001 companiei?

Citiți mai multe despre contextul organizației în articolele Cum se definește contextul organizației conform ISO 27001, Cum se identifică părțile interesate conform ISO 27001 și ISO 22301 și Cum se definește domeniul de aplicare al ISMS.

Clauza 5: Leadership

Cerințele ISO 27001 pentru o conducere adecvată sunt multiple. Angajamentul conducerii superioare este obligatoriu pentru un sistem de management. Obiectivele trebuie stabilite în conformitate cu obiectivele strategice ale unei organizații. Furnizarea resurselor necesare pentru ISMS, precum și sprijinirea persoanelor pentru a contribui la ISMS, sunt alte exemple ale obligațiilor de îndeplinit.

În plus, conducerea superioară trebuie să stabilească o politică în conformitate cu securitatea informațiilor. Această politică ar trebui documentată, precum și comunicată în cadrul organizației și părților interesate.

Rolurile și responsabilitățile trebuie să fie atribuite, de asemenea, pentru a îndeplini cerințele standardului ISO 27001 și pentru a raporta performanța ISMS.

Aflați mai multe despre managementul superior în ISO 27001 în aceste articole: Perspectiva managementului superior al implementării securității informațiilor, Rolurile și responsabilitățile managementului superior în ISO 27001 și ISO 22301 și Ce ar trebui să scrieți în politica dvs. de securitate a informațiilor conform ISO 27001?

Clauza 6: Planificarea

Planificarea într-un mediu ISMS ar trebui să ia întotdeauna în considerare riscurile și oportunitățile. O evaluare a riscului de securitate a informațiilor oferă o bază solidă pe care să ne bazăm. În consecință, obiectivele de securitate a informațiilor ar trebui să se bazeze pe evaluarea riscurilor. Aceste obiective trebuie aliniate la obiectivele generale ale companiei. Mai mult, obiectivele trebuie promovate în cadrul companiei. Acestea oferă obiectivele de securitate pentru a lucra pentru toată lumea din interior și aliniate cu compania. Din evaluarea riscurilor și obiectivele de securitate, se derivă un plan de tratare a riscurilor, pe baza controalelor enumerate în anexa A.

Pentru o mai bună înțelegere a riscurilor și oportunităților, citiți articolul ISO 27001 evaluarea riscurilor & tratament – 6 pași de bază. Aflați mai multe despre obiectivele de control în articolul Obiective de control ISO 27001 – De ce sunt importante? Pentru mai multe detalii despre direcția unei companii, citiți articolul Alinierea securității informațiilor cu direcția strategică a unei companii conform ISO 27001.

Clauza 7: Asistență

Resurse, competența angajaților, conștientizarea și comunicarea sunt probleme cheie ale susținerii cauzei. O altă cerință este documentarea informațiilor conform ISO 27001. Informațiile trebuie documentate, create și actualizate, precum și controlate. Un set adecvat de documentație trebuie menținut pentru a sprijini succesul ISMS.

Pentru mai multe informații despre instruire, conștientizare și comunicare, citiți articolele Cum să efectuați instruirea & conștientizare pentru ISO 27001 și ISO 22301 și Cum să creați un plan de comunicare conform la ISO 27001. Aflați mai multe despre gestionarea documentelor în articolul Managementul documentelor în ISO 27001 & BS 25999-2.

Clauza 8: Funcționare

Procesele sunt obligatorii pentru implementarea securității informațiilor. Aceste procese trebuie să fie planificate, implementate și controlate. Evaluarea și tratarea riscurilor – care trebuie să fie în mintea conducerii superioare, așa cum am aflat mai devreme – trebuie puse în aplicare.

Aflați mai multe despre evaluarea și tratarea riscurilor în articolele ISO 27001 Evaluarea riscurilor: Cum să potriviți activele, amenințările și vulnerabilitățile și Cum să evaluați consecințele și probabilitatea în analiza de risc ISO 27001 și în această diagramă gratuită a procesului de evaluare și tratament al riscului ISO 27001: 2013.

Clauza 9: Evaluarea performanței

Cerințele standardului ISO 27001 așteaptă monitorizarea, măsurarea, analiza și evaluarea sistemului de management al securității informațiilor. Nu numai departamentul ar trebui să își verifice lucrările – în plus, trebuie efectuate audituri interne. La intervale stabilite, conducerea superioară trebuie să revizuiască ISMS-ul organizației.

Aflați mai multe despre performanță, monitorizare și măsurare în articolele Indicatori cheie de performanță pentru un ISMS ISO 27001 și Cum se efectuează monitorizarea și măsurarea în ISO 27001.

Clauza 10: Îmbunătățire

Îmbunătățirea urmărește evaluarea. Nonconformitățile trebuie soluționate prin luarea de măsuri și eliminarea cauzelor atunci când este cazul. Mai mult, ar trebui implementat un proces de îmbunătățire continuă, chiar dacă ciclul PDCA (Plan-Do-Check-Act) nu mai este obligatoriu (citiți mai multe despre acest lucru în articolul Ciclul PDCA a fost eliminat din noile standarde ISO? Totuși, ciclul PDCA este adesea recomandat, deoarece oferă o structură solidă și îndeplinește cerințele ISO 27001.

Pentru mai multe despre îmbunătățirea ISO 27001, citiți articolul Obținerea îmbunătățirii continue prin utilizarea modelelor de maturitate.

Anexa A (normativă) Obiective și controale de control de referință

Anexa A este o listă utilă a obiectivelor și controalelor de control de referință. Începând cu A.5 Politicile de securitate a informațiilor prin A.18 Conformitate, lista oferă controale prin care pot fi îndeplinite cerințele ISO 27001 și poate fi derivată structura unui ISMS. Controalele, identificate printr-o evaluare a riscurilor descrise mai sus, trebuie luate în considerare și implementate.

Pentru mai multe despre anexa A, citiți articolele Un ghid rapid pentru ISO 27001 controale din anexa A și cum se structurează documentele pentru controalele ISO 27001 anexa A.

Cerințele unui ISMS

Implementarea și standardul în sine pot părea provocatoare sau complicate la prima vedere , deoarece unele cerințe ar putea să nu vă pară logice. Dar, cu o învățare mai aprofundată despre asta, lucrurile cad la locul lor și se începe să apreciem caracterul cuprinzător pe care îl aduce implementarea ISO 27001 în securitate. La scurt timp după ce veți fi conform, veți realiza cu siguranță că standardul vă oferă un ghid structurat și veți fi mulțumit de decizia dvs. cu privire la implementare.

Pentru a afla mai multe despre cerințele ISO 27001, descărcați acest Clause-by gratuit -clauza explicației ISO 27001.

Aici puteți afla cât de detaliate ar trebui să fie documentele ISO 27001?

Pentru factorii de decizie din lumea startupurilor , este foarte recomandat să citiți de ce ar trebui să investească în ISO 27001 și cum implementarea poate oferi un impuls companiei.

Despre autor:

Andrea Giesler este auditor intern , cu sediul în Köln, Germania, specializată în domeniile ISO 27001, ISO 9001 și EU GDPR. Ea este auditor certificat de sisteme informaționale (CISA) și este certificată în controlul sistemelor informaționale și de risc (CRISC) de către ISACA.