Certificare ISO 27001
ISO 27001 este un standard pentru managementul securitatii informatiei. El defineste o serie de cerinte privind managementul securitatii informatiei. Aceste cerinte sunt definite in sectiunile 4, 5, 6, 7 si 8.
Scopul standardului ISO IEC 27001 este sa ajute organizatiile sa isi elaboreze si sa isi mentina un sistem de management al securitatii informatiei (SMSI). ISO IEC 27001 se aplica tuturor tipurilor de organizatii, indiferent de domeniul in care activeaza sau de marimea lor. ISO IEC 27001 va poate ajuta organizatia sa isi indeplineasca nevoile si cerintele referitoare la managementul securitatii informatiei.
Consultanta ISO 27001
ISO IEC 27001 a fost conceput pentru a fi folosit in scopuri de certificare ISO 27001. Cu alte cuvinte, odata ce v-ati elaborat un SMSI care indeplineste atat cerintele ISO IEC 27001 (ca urmare a unui proces de consultanta ISO 27001 si implementarea sistemului de catre o firma de consultanta ISO sau cu resurse proprii), cat si nevoile organizatiei dvs., puteti cere unui registru sa va auditeze sistemul. Daca registrului ii place ceea ce vede, el va emite un certificat oficial in care declara ca SMSI indeplineste cerintele ISO IEC 27001. Potrivit ISO 27001, trebuie ca dvs. sa indepliniti fiecare cerinta (specificata in clauzele 4, 5, 6, 7, si 8 daca doriti sa sustineti ca SMSI este in conformitate cu standardul pentru securitatea informatiei.
Cu toate aceste, desi trebuie sa indepliniti fiecare cerinta, marimea si complexitatea sistemelor de management al securitatii informatiei variaza destul de mult. Modul in care indepliniti fiecare cerinta a ISO 27001, ca si gradul in care o faceti, depind de mai multi factori, din care putem enumera:
• Marimea si structura organizatiei dvs.
• Nevoile si obiectivele organizatiei dvs.
• Cerintele de securitate ale organizatiei dvs.
• Procesele legate de afaceri ale organizatiei dvs.
ISO 27001 mai expune si o serie de obiective de control si de masuri de control. Acestea sunt prezentate in anexa A si provin din standardul pentru securitatea informatiei ISO IEC 27002 (17799 2005).
In plus fata de aceste obiective de control si fata de aceste masuri de control, ISO 27002 mai ofera si un ghid de implementare ISO si alte informatii. Ultimele doua nu sunt incluse in standardul ISO 27001. Drept urmare, s-ar putea sa gasiti folositoare si achizitionarea standardului ISO IEC 27002 (17799).
Chiar daca ISO 27001 doreste sa indepliniti fiecare cerinta, el va permite sa excludeti unele obiective de control si unele masuri de control din anexa A, in cazul in care puteti justifia acest lucru. Pe scurt, puteti exclude sau ignora obiectivele de control si masurile de control din anexa A ori de cate ori ele se adreseaza unor riscuri cu care va puteti descurca, si ori de cate ori cand actionand astfel nu va subminati abilitatea si obligatia de a indeplini toate cerintele relevante (legale si privind securitatea).
Mai precis, puteti ignora sau exclude unele obiective de control si unele masuri de control in urmatoarele circumstante:
• Puteti exclude unele obiective de control si unele masuri de control daca ele se adreseaza unor riscuri privind securitatea pe care le puteti accepta si daca puteti arata ca hotararea dvs. de a accepta aceste riscuri este conforma cu criteriile oficiale de acceptare a riscului din organizatia dvs.
• Trebuie sa fiti capabili, de asemenea, sa va justificati decizia de excludere.
• Trebuie sa fiti capabili, de asemenea, sa aratati ca persoanele raspunzatoare au acceptat riscurile asociate.
• Puteti exclude unele obiective de control si unele masuri de control daca ati folosit o metoda de apreciere a riscului pentru a identifica cerintele organizatiei dvs. fata de securitate si daca sunteti de parere ca aceste cerinte vor fi, totusi, indeplinite.
• Puteti exclude unele obiective de control si unele masuri de control ori de cate ori aceasta actiune nu va submineaza abilitatea si responsabilitatea de a indeplini cerintele privind securitatea informatiei din organizatia dvs.
• Puteti exclude unele obiective de control si unele masuri de control daca puteti arata ca toate cerintele legale si de reglementare aplicabile vor fi, cu toate acestea, indeplinite.
• Puteti exclude unele obiective de control si unele masuri de control ori de cate ori aceasta actiune nu va submineaza abilitatea si responsabilitatea de a indeplini toate cerintele legale si statutare aplicabile.