ISO / IEC 27001 - ISO/IEC 27001

ISO / IEC 27001 este un standard internațional privind modul de gestionare a securității informațiilor. Standardul a fost publicat inițial în comun de Organizația Internațională pentru Standardizare (ISO) și Comisia Electrotehnică Internațională (IEC) în 2005 și apoi revizuit în 2013. Acesta detaliază cerințele pentru stabilirea, implementarea, menținerea și îmbunătățirea continuă a unui sistem de management al securității informațiilor (ISMS). ) - scopul căruia este de a ajuta organizațiile să facă activele informaționale pe care le dețin mai sigure. O actualizare europeană a standardului a fost publicată în 2017. Organizațiile care îndeplinesc cerințele standardului pot alege să fie certificate de un organism de certificare acreditat după finalizarea cu succes a unui audit. Eficacitatea procesului de certificare ISO / IEC 27001 și standardul general au fost abordate într-un studiu recent la scară largă.

Cum funcționează standardul

Majoritatea organizațiilor au o serie de controale de securitate a informațiilor . Cu toate acestea, fără un sistem de management al securității informațiilor (ISMS), controalele tind să fie oarecum dezorganizate și disjuncte, fiind implementate adesea ca soluții punctuale la situații specifice sau pur și simplu ca o chestiune de convenție. Controalele de securitate în funcțiune abordează de obicei anumite aspecte ale tehnologiei informației (IT) sau securității datelor ; lăsând active de informații non-IT (cum ar fi documentele și cunoștințele de proprietate) mai puțin protejate în ansamblu. Mai mult, planificarea continuității afacerii și securitatea fizică pot fi gestionate destul de independent de IT sau securitatea informațiilor, în timp ce practicile de resurse umane pot face puține referiri la necesitatea definirii și atribuirii rolurilor și responsabilităților de securitate a informațiilor în întreaga organizație.

ISO / IEC 27001 impune ca managementul:

• Examinați în mod sistematic riscurile de securitate ale informației ale organizației, luând în considerare amenințările, vulnerabilitățile și impactul;
• Proiectați și implementați o suită coerentă și cuprinzătoare de controale de securitate a informațiilor și / sau alte forme de tratament al riscului (cum ar fi evitarea riscului sau transferul riscurilor) pentru a aborda acele riscuri care sunt considerate inacceptabile; și
• Adoptați un proces global de gestionare pentru a vă asigura că controalele de securitate a informațiilor continuă să satisfacă în mod continuu nevoile organizației de securitate a informațiilor.

Rețineți că ISO / IEC 27001 este conceput să acopere mult mai mult decât doar IT.

Ce controale vor fi testate ca parte a certificării ISO / IEC 27001 depinde de auditorul de certificare. Aceasta poate include orice controale pe care organizația le-a considerat a fi în domeniul de aplicare al ISMS și această testare poate fi la orice profunzime sau măsură, după cum este evaluat de auditor, după cum este necesar pentru a testa dacă controlul a fost implementat și funcționează eficient.

Conducerea determină domeniul de aplicare al ISMS în scopuri de certificare și îl poate limita la, să zicem, o singură unitate de afaceri sau locație. Certificatul ISO / IEC 27001 nu înseamnă neapărat că restul organizației, în afara zonei vizate, are o abordare adecvată a managementului securității informațiilor.

Alte standarde din familia de standarde ISO / IEC 27000 oferă îndrumări suplimentare cu privire la anumite aspecte ale proiectării, implementării și operării unui ISMS, de exemplu cu privire la gestionarea riscurilor de securitate a informațiilor ( ISO / IEC 27005 ).

Istoria ISO / IEC 27001

BS 7799 a fost un standard publicat inițial de Grupul BSI în 1995. A fost scris de Departamentul de Comerț și Industrie (DTI) al guvernului britanic și consta din mai multe părți.

Prima parte, care conține cele mai bune practici pentru gestionarea securității informațiilor, a fost revizuită în 1998; după o discuție îndelungată în organismele internaționale de standardizare, în cele din urmă a fost adoptată de ISO ca ISO / IEC 17799, „Tehnologia informației - Cod de practică pentru gestionarea securității informațiilor”. în 2000. ISO / IEC 17799 a fost apoi revizuit în iunie 2005 și în cele din urmă încorporat în seria de standarde ISO 27000 ca ISO / IEC 27002 în iulie 2007.

A doua parte a BS7799 a fost publicată pentru prima dată de BSI în 1999, cunoscută sub numele de BS 7799 Partea 2, intitulată „Sisteme de management al securității informațiilor - Specificații cu îndrumări pentru utilizare”. BS 7799-2 s-a axat pe modul de implementare a unui sistem de management al securității informațiilor (ISMS), referindu-se la structura de gestionare a securității informațiilor și la controalele identificate în BS 7799-2. Aceasta a devenit ulterior ISO / IEC 27001: 2005. BS 7799 Partea 2 a fost adoptată de ISO ca ISO / IEC 27001 în noiembrie 2005.

BS 7799 Partea 3 a fost publicată în 2005, acoperind analiza și gestionarea riscurilor. Se aliniază la ISO / IEC 27001: 2005.

Se face foarte puțină referire sau utilizare la oricare dintre standardele BS în legătură cu ISO / IEC 27001.

Certificare

Un ISMS poate fi certificat conform ISO / IEC 27001 de către un număr de registratori acreditați din întreaga lume. Certificarea împotriva oricăreia dintre variantele naționale recunoscute ale ISO / IEC 27001 (de exemplu, JIS Q 27001, versiunea japoneză) de către un organism de certificare acreditat este funcțional echivalentă cu certificarea împotriva ISO / IEC 27001 în sine.

În unele țări, organismele care verifică conformitatea sistemelor de management la standardele specificate sunt numite „organisme de certificare”, în timp ce în altele sunt denumite în mod obișnuit „organisme de înregistrare”, „organisme de evaluare și înregistrare”, „organisme de certificare / înregistrare”, și uneori „registratori”.

Certificarea ISO / IEC 27001, ca și alte certificări ale sistemului de management ISO, implică de obicei un proces de audit extern în trei etape definit de standardele ISO / IEC 17021 și ISO / IEC 27006:

• Etapa 1 este o revizuire preliminară, informală a ISMS, de exemplu verificarea existenței și exhaustivității documentelor cheie, cum ar fi politica de securitate a informației a organizației, Declarația de aplicabilitate (SoA) și Planul de tratament al riscurilor (RTP). Această etapă servește pentru familiarizarea auditorilor cu organizația și invers.
• Etapa 2 este un audit de conformitate mai detaliat și formal , testând independent ISMS în funcție de cerințele specificate în ISO / IEC 27001. Auditorii vor căuta dovezi care să confirme că sistemul de management a fost proiectat și implementat corespunzător și că este de fapt în funcțiune ( de exemplu prin confirmarea faptului că un comitet de securitate sau un organism de conducere similar se întrunește periodic pentru a supraveghea ISMS). Auditurile de certificare sunt efectuate de obicei de către auditorii principali ISO / IEC 27001 . Trecerea acestei etape duce la certificarea ISMS conform ISO / IEC 27001.
• În curs de desfășurare implică revizuiri sau audituri de urmărire pentru a confirma că organizația rămâne în conformitate cu standardul. Întreținerea certificării necesită audituri periodice de reevaluare pentru a confirma că ISMS continuă să funcționeze conform specificațiilor și intențiilor. Acestea ar trebui să se întâmple cel puțin anual, dar (de comun acord cu conducerea) sunt adesea efectuate mai frecvent, în special în timp ce ISMS este încă în maturitate.

Structura standardului

Titlul oficial al standardului este „Tehnologia informației - Tehnici de securitate - Sisteme de management al securității informațiilor - Cerințe”

ISO / IEC 27001: 2013 are zece clauze scurte, plus o anexă lungă, care acoperă:

1. Domeniul de aplicare al standardului

2. Cum se face referire la document

3. Reutilizarea termenilor și definițiilor din ISO / IEC 27000

4. Contextul organizațional și părțile interesate

5. Conducerea securității informațiilor și sprijin la nivel înalt pentru politici

6. Planificarea unui sistem de management al securității informațiilor ; evaluare a riscurilor; tratamentul riscului

7. Sprijinirea unui sistem de management al securității informațiilor

8. Punerea în funcțiune a unui sistem de management al securității informațiilor

9. Revizuirea performanțelor sistemului

10. Acțiune corectivă

Anexa A: Lista controalelor și obiectivele acestora

Această structură reflectă alte standarde de management, cum ar fi ISO 22301 ( managementul continuității activității ) și acest lucru ajută organizațiile să respecte standardele multiple ale sistemelor de management, dacă doresc. Anexele B și C din 27001: 2005 au fost eliminate.

Controale

Clauza 6.1.3 descrie modul în care o organizație poate răspunde la riscuri cu un plan de tratare a riscurilor; o parte importantă a acestui lucru este alegerea controalelor adecvate. O schimbare foarte importantă în ISO / IEC 27001: 2013 este că nu există acum nicio cerință de a utiliza controalele din anexa A pentru a gestiona riscurile de securitate a informațiilor. Versiunea anterioară a insistat („va”) că controalele identificate în evaluarea riscurilor pentru a gestiona riscurile trebuie să fi fost selectate din anexa A. Astfel, aproape fiecare evaluare a riscului finalizată vreodată în conformitate cu vechea versiune a ISO / IEC 27001 a folosit controale din anexa A, dar un numărul tot mai mare de evaluări ale riscurilor în noua versiune nu utilizează anexa A ca set de control. Acest lucru permite evaluarea riscurilor să fie mai simplă și mult mai semnificativă pentru organizație și ajută considerabil la stabilirea unui sentiment adecvat de proprietate atât a riscurilor, cât și a controalelor. Acesta este motivul principal al acestei modificări în noua versiune.

Există 114 controale în 14 grupuri și 35 de categorii de control:

A.5: Politici de securitate a informațiilor (2 controale)

A.6: Organizarea securității informațiilor (7 controale)

A.7: Securitatea resurselor umane - 6 controale care se aplică înainte, în timpul sau după angajare

A.8: Managementul activelor (10 controale)

A.9: Control acces (14 controale)

A.10: Criptografie (2 controale)

A.11: Securitate fizică și de mediu (15 controale)

A.12: Securitatea operațiunilor (14 controale)

A.13: Securitatea comunicațiilor (7 comenzi)

A.14: Achiziționarea, dezvoltarea și întreținerea sistemului (13 controale)

A.15: Relații cu furnizorii (5 controale)

A.16: Gestionarea incidentelor de securitate a informațiilor (7 controale)

A.17: Aspecte de securitate a informațiilor privind managementul continuității activității (4 controale)

A.18: Conformitate; cu cerințe interne, cum ar fi politicile, și cu cerințe externe, cum ar fi legile (8 controale)

Controalele reflectă modificările tehnologiei care afectează multe organizații - de exemplu, cloud computing - dar așa cum s-a menționat mai sus, este posibil să se utilizeze și să fie certificate ISO / IEC 27001: 2013 și să nu se utilizeze niciunul dintre aceste controale.

Vezi si

• ISO / IEC JTC 1 / SC 27 - Tehnici de securitate IT
• Seria ISO / IEC 27000
• Iso 9001
• BS 7799
• Standarde de securitate cibernetică
• Organizația Internațională pentru Standardizare
• Lista standardelor ISO

Referințe

linkuri externe

• Site-ul ISO