ISO/IEC 27001

De la Wikipedia, enciclopedia liberă
Jump to navigation Jump to search

ISO/IEC 27001:2013 este un standard internațional de securitate a informației, care a fost publicat pe 25 septembrie 2013. El anulează și înlocuiește ISO/IEC 27001:2005, și este publicat de către Organizația Internațională de Standardizare (ISO) și Comisia Electrotehnică Internațională (IEC) în comun cu subcomitetul ISO și IEC, ISO/IEC JTC 1/SC 27, care este o specificație pentru un sistem de management al securității informației (SMSI). Organizațiile care se conformează cu acest standard pot fi acreditate/certificate de către un acreditor independent/organism de certificare.

Structura standardului[modificare | modificare sursă]

Titlul oficial al standardului este "Tehnologia Informatiei - Tehnici de securitate - Sisteme de management al securității informației - Cerințe".

27001: 2013 are zece secțiuni scurte, plus o anexă lungă, care acoperă:

1. Domeniul de aplicare a standardului

2. Cum se efectuiază referințe în documente

3. Reutilizarea termeni și definiții din ISO/IEC 27000

4. Context organizațional și părțile interesate

5. Sprijin la nivel cel mai înalt al conducerei pentru securitate informației și politica organizației

6. Planificarea unui sistem de management al securității informației; evaluarea riscurilor; tratarea riscului

7. Sprijinirea unui sistem de management al securității informației

8. Realizarea unui sistem de management al securității informației operaționale

9. Revizuirea performanței sistemului

10. acțiune corectivă

Anexa A: Lista de control și a obiectivelelor.

Această structură reflectă structura de alte standarde noi de management, cum ar fi ISO 22301 (managementul continuității afacerii); acest lucru ajută organizațiile care au scopul de a se conforma cu standarde multiple, pentru îmbunătățirea serviciilor IT din punct de veder a perspectivelor diferite.

Anexele B și C de 27001: 2005 au fost eliminate.

Modificările standardului ISO/IEC 27001:2005[modificare | modificare sursă]

Noul standard pune accent mai mult pe măsurarea și evaluarea eficienței efectuării sistemului de management al securității informațieiunei; există o nouă secțiune pe outsourcing, ceea ce reflectă faptul că multe organizații se bazează pe terțe părți pentru a furniza anumite aspecte ale IT. Ea nu pune accent pe ciclul Plan-Do-Check-Act, cum era în standardul vechi 27001:2005. Alte procese de îmbunătățire continuă, cum ar fi metoda DMAIC(define, measure, analyze, improve, control), pot fi puse în aplicare. Mai multă atenție este acordată în contextul organizațional al securității informaționale, și s-a schimbat abordarea de evaluare a riscurilor. În general, 27001:2013 este conceput pentru a se potrivi mai bine alături de alte standarde de management , cum ar fi ISO 9000 și ISO 20000, și are mai multe puncte comune cu ei.

Măsuri de control și obiective de securitate noi:

A.6.1.5 Securitatea informațiilor în managementul de proiect.

A.12.6.2 Restricții pentru instalarea software-ului.

A.14.2.1 Politici de dezvoltare în condiții de siguranță.

A.14.2.5 Principii de inginerie sigură de sistem .

A.14.2.6 Mediu de dezvoltare în condiții de siguranță.

A.14.2.8 Testare în condiții de siguranță a securității sistemului.

A.15.1.1 Politica de securitate Informații pentru relațiile cu furnizorii.

A.15.1.3 Tehnologia de informație și comunicare cu terți.

A.16.1.4 Evaluarea deciziilor cu privire la evenimentele de securitate a informației.

A.16.1.5 Răspuns la incidente de securitate a informației.

A.17.2.1 Disponibilitatea facilităților de prelucrare a informației.

Măsuri de control și obiective de securitate[modificare | modificare sursă]

Secțiunea 6.1.3 descrie modul în care o organizație poate răspunde riscurilor cu un plan de tratare a riscurilor; o parte importantă a acestei este alegerea controalelor corespunzătoare. Aceste măsuri de control și obiective de securitate, sunt enumerate în anexa A, deși este posibil pentru organizații de a alege alte măsuri de control și obiective de securitate suplimentare. Există în prezent 114 de măsuri de control și obiective de securitate în 14 grupe; standardul vechi a avut 133 de măsuri de control și obiective de securitate în 11 grupuri.

A.5: politici de securitate de informații (2 măsuri de control și obiective de securitate).

A.6: Organizarea securității informației (7 măsuri de control și obiective de securitate).

A.7: Securitatea resurselor umane - 6 măsuri de control și obiective de securitate care sunt aplicabile înainte, în timpul, sau după angajare.

A.8: Managementul resurselor (10 măsuri de control și obiective de securitate).

A.9: Controlul accesului (14 măsuri de control și obiective de securitate).

A.10: Criptografie (2 măsuri de control și obiective de securitate).

A.11: Securitatea fizică și a mediului (15 măsuri de control și obiective de securitate).

A.12: Operațiuni de securitate (14 măsuri de control și obiective de securitate).

A.13: Securitate comunicațiilor (7 măsuri de control și obiective de securitate).

A.14: Achiziții de sistem, dezvoltare și întreținere (13 măsuri de control și obiective de securitate).

A.15: Relațiile cu furnizorii (5 măsuri de control și obiective de securitate).

A.16: Managementul incidentelor de securitate a informației (7 măsuri de control și obiective de securitate).

A.17: Aspecte de securitate de informare ale managementului continuitatii afacerii (4 măsuri de control și obiective de securitate).

A.18: Conformitatea cu cerințele interne, cum ar fi politicile, și cu cerințele externe, cum ar fi legile (8 măsuri de control și obiective de securitate).

Măsurile de control și obiective de securitate, noi și actualizate, reflectă modificări în tehnologii care pot afecta mai multe organizații - de exemplu, Cloud.

Legături externe[modificare | modificare sursă]