Sunteți pe pagina 1din 14

Seria de standarde 27000

Lect univ.dr. Delia Bbeanu


ISO 27000 elemente fundamentale i vocabular
(la sfritul anului 2008 apare definitivat) care
explic terminologia pentru toat seria de
standarde 27000 (marketing);
explic principii de baz n definiii ce variaz de
la ar la ar;
aceste principii vor avea impact asupra altor
standarde cum ar fi COBIT(procese IT) i ITIL
(Furnizarea de servicii IT - Service Delivery) i
elimin orice confuzie.

ISO 27001 cerinele unui SMSI Procesul de
Certificare (se bazeaz pe ISO 27002)
certificarea SMSI- publicat n Noiembrie 2005 i
operaional de la 30 Ianuarie 2006
(www.iso27001certificates.com);
clasificarea / mbuntirea cerinelor procesului
PDCA care cuprinde: scopul SMSI, evaluarea
riscurilor, selectarea controalelor, declaraia de
aplicabilitate, revizuirea riscurilor, audit intern al
SMSI, rezultate reale i msurtori, plan pentru
tratarea riscurilor i controale.

ISO 27002 Cod de practic n gestionarea
sistemelor informaionale
are 11 seciuni cu privire la protecia bunurilor
informaionale (a fost publicat n aprilie 2007);
133 controale detaliate (bazate pe procesul de
evaluare a riscurilor i mediul de afacere);
acoper externalizarea serviciilor de aprovizionare
i livrare, probleme curente i probleme de
management, securitate la angajare i n timpul
derulrii unui contract al unui angajat, ghid pentru
managementul riscurilor i gestionarea
incidentelor, comunicaii mobile, de la distan sau
distribuite.

ISO 27003 Ghid de implementare SMSI (apare n 2009)
Implementarea ghidului pentru a sprijini noile cerine ale
standardului
Anexa B a standardului BS7799 Partea a doua are
urmtoarele etape: privire de ansamblu, responsabilitile
managementului, conformitate cu guvernana i reguli,
resurse umane i securitatea personalului, gestionarea
bunurilor, disponibilitatea/continuitatea proceselor de
afacere, gestionarea incidentelor informaionale, controlul
accesului, studii de caz privind managementul riscurilor.
Implementarea unui PDCA presupune identificarea
bunurilor, identificarea ameninrilor, evaluarea i tratarea
riscurilor, analiza i mbuntirea controalelor.

ISO 27004 Metrice i msurabilitate a SMSI (la sfritul
anului 2008). Obiectivele acestui standard sunt:
evaluarea real a controalelor i obiectivelor SI;
evaluarea real a unui SMSI (susinere);
furnizeaz indicatori pentru asisten managerial;
mbuntirea facilitilor SI;
furnizeaz intrrile pentru auditul SI;
comunicare real la nivelul managementului sistemelor
informaionale;
intrarea n procesul de management al riscurilor;
ieirea pentru comparaii interne i repere (ex.
msurarea performanei controalelor i proceselor).


Etapele planificrii SMSI
ISO 27005 Managementul riscurilor SMSI (la
sfritul anului 2008)
Un nou standard de managementul riscurilor
pentru securitatea informaiei;
Analiza riscurilor, evaluarea riscurilor din
securitatea informaional (identificarea
bunurilor, ameninri i vulnerabiliti);
Tratarea riscurilor securitii informaionale:
Anexa a scop;
Anexa b identificarea i valorificarea bunurilor
Anexa c vulnerabiliti comune.









Tratarea riscurilor securitii informaionale

ISO 27006 Ghid pentru acreditare SMSI (cuprinsul
certificrilor)
Necesar pentru sporirea rigurozitii i evidenelor a
cuprinsului certificrii pe care organizaia o cere pentru
certificare (necesar de afacere, comunicaii i practic);
Operaional din Ianuarie 2007;
Cerine generale (ghid de imparialitate);
Structura organizaional aplicnd ISO/IEC 17021;
Cerine de resurse: competen managerial; subcontacte
etc.;
Cerine informaionale ghidarea rezultatelor certificrii;
Cerinele procesului ghidarea auditului SMSI;
3 anexe (analiza complexitii SMSI; exemple de domenii
ale competenei auditorului, calcularea timpului de audit).

ISO 27007 Ghid pentru auditarea SMSI (din
2009)
Ghid pentru audit i acreditarea certificrii
cuprinsului auditat SMSI

Cerine specifice pe anumite sectoare ale
economiei (ISO27011 ISO27030)- Telecoms
(global) ISO 27011; Sntate (UK)ISO 27799;
Automotive(Germany;Korea;Sweden); Loterie la
nivel internaional.
Ghid operaional (ISO27031 ISO27059) pentru
care nc nu exist o dat a publicrii.
n aceast serie, sunt cuprinse:
ISO 27031 : Continuitatea Afacerii utiliznd IT&C
ISO 27032 : Ghid pentru securitatea cibernetic
ISO 27033 : Securitatea reelelor de calculatoare
ISO 27034 : Ghid pentru aplicarea securitii.