Cerinele standardului SR ISO/CEI 27001:2006 (managementul securitii informaiei)

ISO (Organizaia Internaional de Standardizare) i CEI (Comisia Electrotehnic

Internaional) formeaz sistemul internaional specializat pentru standardizare. Organismele
naionale care sunt membre ale ISO sau CEI particip la dezvoltarea standardelor internaionale
prin comitetele tehnice stabilite de respectiva organizaie pe domenii specifice de activitate
tehnic.
Comitetele tehnice ISO i CEI colaboreaz n domenii de interes reciproc. La aceast
aciune particip i alte organizaii internaionale, guvernamentale i neguvernamentale, n
colaborare cu ISO i CEI. n domeniul tehnologiei informaiei, ISO i CEI au stabilit un comitet
tehnic comun ISO/IEC JTC.
Securitatea informaiei const n conservarea atributelor fundamentale ale informa iei:
confidenialitate, integritate, disponibilitate
Securitatea informaiei nseamn protejarea informaiei de acces, utilizare, divulgare,
modificare, dislocare sau distrugere neautorizate n scopul asigurrii continuitii afacerii,
diminurii pierderilor, maximizrii rentabilitii investiiilor i oportunitilor de afaceri.
ISO 27001 este un standard care prevede cerinte pentru proiectarea, implementarea si
certificarea unui sistem de management al securitii informaiilor care ajuta organizatia sa-si
stabileasca si sa realizeze politici de securitate informaionala si obiective in concordanta cu
cerintele legale aplicabile activitatii desfasurate.
ISO 27001 este un standard care stabileste cerintele pentru un Sistem de Management al
Securitatii Informatiei. Ajuta la identificarea, managementul si minimizarea amenintarilor care
afecteaza de obicei informatia. Standardul include urmatoarele:

formularea cerintelor de securitate si a obiectivelor;

asigurarea ca riscurile de securitate sunt stapanite din punct de vedere al costului;

asigurarea unei conformitati cu legislatia si diverse reglementari;

identificarea si clarificarea proceselor existente de management al securitatii informatiei;

folosinta lui de catre management pentru a determina statusul activitatilor de

management al securitatii informatiei;

folosinta de catre auditori interni si externi pentru a determina gradul de conformitate cu

politicile, directivele si standardele adoptate de catre organizatie;

furnizarea de informatii relevante despre politicile de securitatea informatiei, standarde si

proceduri, catre partenerii comerciali;

furnizarea de informatii relevante despre securitatea informatiei, clientilor societatii.

Acest standard se aplic n toate tipurile de organizaii (de exemplu: societi comerciale,

agenii guvernamentale, organizaii non-profit). El specific cerinele pentru implementarea

msurilor de securitate adaptate la nevoile individuale ale organizaiei sau ale unor pri din
aceasta.
Sistemul de management al securitii informaiei este conceput n aa fel nct s
asigure selectarea adecvat i proporional a msurilor de securitate care protejeaz resursele
informatice i s asigure ncrederea prilor implicate.
La data adoptrii acestui standard, standardul de referin menionat n text, ISO/CEI
17799:2005, nu este adoptat ca standard romn.
Acest standard internaional adopt o abordare bazat pe proces pentru stabilirea, implementarea,
funcionarea, monitorizarea, evaluarea, ntreinerea i mbuntirea SMSI al unei organizaii.
Acest standard internaional adopt modelul "Plan-Do-Check-Act" (PDCA)),care este
aplicat pentru a structura toate procesele SMSI. Figura 1 ilustreaz felul n care un SMSI ia ca
date de intrare cerinele de securitate a informaiei i ateptrile prilor interesate si prin
aciunile i procesele necesare obine rezultate de securitate a informaiei care ndeplinesc aceste
cerine i ateptri.

Plan (stabilirea SMSI) Stabilirea politicii SMSI, a obiectivelor, proceselor i

procedurilor relevante pentru managementul riscului i mbuntirea securitii informaiei
pentru a furniza rezultate n conformitate cu politicile i obiectivele de ansambluale organizaiei.
Do (implementarea i funcionarea SMSI) - Implementarea i funcionarea politicilor
SMSI, msurilor de securitate, a proceselor i procedurilor.
Check (monitorizarea i revizuirea SMSI) - Evaluarea si, acolo unde este aplicabil,
msurarea performantei procesului n raport cu politica SMSI, obiectivele i experiena practica
i raportarea rezultatelor ctre echipa de management pentru revizuire.
Act (meninerea imbuntirea SMSI) Deciderea de aciuni corective i preventive,
bazate pe rezultatele auditului intern SMSI i revizuirile managementului sau alte informaii
relevante pentru a obine o mbuntire continua a SMSI.
Acest standard internaional a fost elaborat pentru a furniza un model pentru stabilirea,
implementarea, funcionarea, monitorizarea, revizuirea, ntreinerea i mbuntirea unui Sistem
de Management pentru Securitatea Informaiei (SMSI). Adoptarea SMSI trebuie s fie o decizie
strategica pentru o organizaie. Proiectarea i implementarea unui SMSI intr-o organizaie este
influenat de nevoile i obiectivele acesteia, cerinele de securitate, procesele existente i
mrimea i structura organizaiei. Acestea, mpreun cu sistemele lor de suport se pot schimba
de-a lungul timpului.
Este de ateptat ca implementarea SMSI s fie dimensionat n conformitate cu nevoile
organizaiei, de exemplu o situaie simpl necesitnd o soluie simpl SMSI.
Acest standard internaional poate fi folosit pentru evaluarea conformitii de ctre prile
interesate,att din interiorul organizaiei, ct i din exteriorul acesteia.
Abordare bazat pe proces
Acest standard internaional adopt o abordare bazat pe proces pentru stabilirea,
implementarea,funcionarea, monitorizarea, evaluarea, ntreinerea i mbuntirea SMSI al unei
organizaii.
Pentru ca o organizaie s funcioneze n mod eficient ea trebuie s identifice i s
conduc numeroase activiti. Orice activitate care folosete resurse i este condus pentru a
permite transformarea intrrilor n ieiri, poate fi considerat un proces. Adesea o ieire dintr-un
proces reprezint n mod direct intrarea procesului urmtor.

Aplicarea unui sistem de procese n cadrul unei organizaii, mpreun cu identificarea i

interaciunea acestor procese i managementul acestora poate fi considerata ca fiind "o abordare
bazat pe proces".
Abordarea bazat pe proces pentru managementul securitii informaiei prezentat n
acest standard internaional ncurajeaz utilizatorii acestuia s accentueze importanta
urmtoarelor aspecte:
a) nelegerea cerinelor de securitate a informaiei ale unei organizaii i nevoia de a stabili
politici i
obiective pentru securitatea informaiei;
b) implementarea i utilizarea msurilor pentru a administra riscurile securitii informaiei n
contextul riscurilor de ansamblu ale afacerii;
c) monitorizarea i evaluarea performantei i eficientei SMSI; si
d) mbuntirea continua bazata pe msurarea obiectiva.
Acest standard internaional adopt modelul "Plan-Do-Check-Act" (PDCA)N1),care este
aplicat pentru a structura toate procesele SMSI.
Adoptarea modelului PDCA trebuie s reflecte, de asemenea, principiile care guverneaz
securitatea sistemelor informaionale i a reelelor aa cum sunt ele exprimate n Liniile Generale
ale OECD
Standardul ISO 27001:2006 are la baza urmatoarele principii care definesc securitatea
informatiei: confidentialitatea, integritatea si disponibilitatea informatiei.
Abordarea acestui standard asigura o securitate pe termen lung bazandu-se pe
implementarea de politici, proceduri si metode de securitate destinate protejarii informatiilor si
resurselor organizatiilor. Prin reducerea la maximum a riscurilor se garanteaza ca sistemul de
management este functional si indeplineste cerintele operationale ale companiei, asteptarile
clientilor si se conformeaza legislatiei in vigoare.
Aplicarea cerintelor standardului
Cerinele standardului sunt generice i sunt destinate a fi aplicabile tuturor organizaiilor,
indiferent de tip, mrime i natura activitii

Clauzele specificate n capitolele 4, 5, 6, 7 i 8 sunt obligatorii i prin urmare nici o

organizaie care solicit certificarea pentru conformitatea cu acest standard nu poate opera
excluderi pe aceste grupe de clauze.
Orice excludere de msuri de control necesare eliminrii sau reducerii riscului pn la un
nivel acceptabil trebuie justificat i trebuie furnizate dovezi obiective privind excluderea.
Responsabilitatea managementului
Angajamentul managementului
Managementul trebuie s furnizeze dovezi ale angajamentului su fa de instituirea,
implementarea, funcionarea, monitorizarea, revizuirea, meninerea i mbuntirea SMSI prin:
a) stabilirea politicii SMSI;
b) asigurarea faptului ca obiectivele i planurile SMSI sunt stabilite;
c) stabilirea rolurilor i responsabilitilor privind securitatea informaiei;
d) comunicarea ctre organizaie a importanei ndeplinirii obiectivelor de securitate a informaiei
i conformrii cu politica de securitate a informaiei, responsabilitile legale i nevoia continu
de mbuntire.
e) asigurarea de resurse suficiente pentru stabilirea, implementarea, funcionarea, monitorizarea,
revizuirea, meninerea i mbuntirea SMSI
f) stabilirea criteriilor de acceptare a riscurilor i a nivelurilor acceptabile de risc;
g) asigurarea c auditurile interne ale SMSI se desfoar
h) realizarea analizelor de management ale SMSI
Analizele de management pentru SMSI
Generaliti
Managementul trebuie s revizuiasc SMSI al organizaiei la intervalele planificate (cel puin o
dat pe an) pentru a asigura continua adecvare, conformitate i eficien. Aceasta revizuire
trebuie s includ evaluarea oportunitilor pentru mbuntire i nevoia de schimbri n cadrul
SMSI, incluznd politica de securitate a informaiei i obiectivele de securitate a informaiei.
Rezultatele revizuirilor trebuie documentate clar, iar nregistrrile trebuie pstrate
mbuntirea SMSI

mbuntire continu
Organizaia trebuie s mbunteasc n mod continuu eficiena SMSI prin utilizarea
politicii

de

securitate

informaiei,

obiectivele

securitii

informaiei,

rezultatele

auditului,analiza evenimentelor monitorizate, aciunile corective i preventive i revizuirile

manageriale .
Aciune corectiva
Organizaia trebuie s ia msuri pentru a elimina cauza neconformittii cu cerinele SMSI
pentru a preveni recidiva. Procedura documentat pentru aciunea corectiva trebuie s
defineasc cerinele pentru:
a) identificarea neconformitilor;
b) determinarea cauzelor neconformitilor;
c) evaluarea necesitii ntreprinderii de aciuni pentru a se asigura c neconformitile nu reapar;
d) determinarea i implementarea aciunii corective necesare;
e) nregistrarea rezultatelor aciunii ntreprinse
f) analiza aciunii corective ntreprinse.
Aciune preventiv
Organizaia trebuie s determine aciunile necesare pentru a elimina cauza potenialelor
neconformiti cu cerinele SMSI n scopul prevenirii apariiei lor. Msurile preventive luate
trebuie s
fie adecvate fa de impactul problemelor poteniale. Procedura documentat pentru aciunea
preventiv trebuie s defineasc cerinele pentru:
a) identificarea potenialelor neconformitii i a cauzelor acestora;
b) evaluarea nevoii de aciune pentru a preveni apariia neconformitilor;
c) determinarea i implementarea aciunii preventive necesare;
d) nregistrarea rezultatelor aciunilor ntreprinse
e) analiza aciunii preventive ntreprinse.
Organizaia trebuie s identifice riscurile ce s-au modificat precum i cerinele aciunii
preventive care se axeaz pe riscurile modificate semnificativ.