Documente Academic
Documente Profesional
Documente Cultură
0.1 Generalitati
1
Aplicarea unui sistem de procese în cadrul unei organizații, împreună cu
identificarea și interacțiunile acestor procese, precum și gestionarea acestora, pot fi
denumite "abordări de proces".
2
riscurilor, proiectarea și punerea în aplicare a securității, gestionarea securității și
reevaluarea.
EXEMPLUL 1
EXEMPLUL 2
Se poate aștepta ca, dacă apare un incident grav - poate hacking site-ul web
al unei organizații eBusiness - ar trebui să existe oameni cu o pregătire suficientă
în proceduri adecvate pentru a minimiza impactul.
Plan
Interested Interested
Parties Establish Parties
ISMS
Monitor and
Information review the ISMS
Managed
security Check
and security
expectations
3
Plan (stabilirea ISMS) Stabilirea politicii, obiectivelor, proceselor și procedurilor ISMS relevante
pentru gestionarea riscurilor și îmbunătățirea securității informațiilor pentru
a furniza rezultate în concordanță cu politicile și obiectivele generale ale unei
organizații.
Faceți (implementați și Proceduri de implementare și de a opera politica SMSI, controalele,
operați ISMS) procesele și
Verificați (monitorizați și Evaluați și, unde este cazul, măsurați performanța procesului în funcție de
revizuiți ISMS) politica ISMS, obiectivele și experiența practică și raportați rezultatele spre
examinare conducerii.
Act (menține și Acțiunile corective și preventive, bazate pe rezultatele auditului intern intern
îmbunătățește sistemul și a revizuirii managementului sau a altor informații relevante, pentru
ISMS) îmbunătățirea continuă a ISMS.
Acest standard internațional este aliniat la ISO 9001: 2000 și ISO 14001:
2004 pentru a sprijini punerea în aplicare și funcționarea consecventă și integrată
cu standardele de management aferente. Un sistem de management proiectat
corespunzător poate îndeplini astfel cerințele tuturor acestor standarde. Tabelul C.1
ilustrează relația dintre clauzele acestui standard internațional, ISO 9001: 2000 și
ISO 14001: 2004.
4
Tehnologia informației - Tehnici de securitate -
Sisteme de management al securității informațiilor –
Cerințe
1 Domeniul de aplicare
1.1 Generalități
Acest standard internațional acoperă toate tipurile de organizații (de
exemplu, întreprinderi comerciale, agenții guvernamentale, organizații non-profit).
Acest standard internațional specifică cerințele pentru stabilirea, implementarea,
operarea, monitorizarea, revizuirea, menținerea și îmbunătățirea unui ISMS
documentat în contextul riscurilor globale de afaceri ale organizației. Specifică
cerințele pentru implementarea controalelor de securitate adaptate nevoilor
organizațiilor individuale sau ale părților acestora.
5
1.2 Aplicare
2 Referințe normative
6
3 Termeni și definiții
3.1
activ
orice valoare a organizației [ISO / IEC 13335-1: 2004]
3.2
disponibilitate
proprietatea de a fi accesibilă și utilizabilă la cererea unei entități autorizate
[ISO / IEC 13335-1: 2004]
3.3
confidențialitate
proprietatea că informațiile nu sunt puse la dispoziție sau dezvăluite
persoanelor, entităților sau proceselor neautorizate
[ISO / IEC 13335-1: 2004]
3.4
securitatea informațiilor
păstrarea confidențialității, integrității și disponibilității informațiilor; în
plus, pot fi implicate și alte proprietăți, cum ar fi autenticitatea, răspunderea, non-
repudierea și fiabilitatea
[ISO / CEI 17799: 2005]
3.5
eveniment de securitate informatică
7
o incidență identificată a unui sistem, a unui serviciu sau a unei rețele care
indică o posibilă încălcare a politicii de securitate a informațiilor sau o eșec al
garanțiilor sau o situație necunoscută anterior care ar putea fi relevantă în materie
de securitate
[ISO / IEC TR 18044: 2004]
3.6
incident de securitate informatică
o singură serie sau o serie de evenimente de securitate a informațiilor
nedorite sau neașteptate care au o probabilitate semnificativă de a compromite
operațiunile de afaceri și amenință securitatea informațiilor
[ISO / IEC TR 18044: 2004]
3.7
sistemul de management al securității informației ISMS
acea parte a sistemului global de management, bazată pe o abordare a
riscului de afaceri, să stabilească, să pună în aplicare, să opereze, să monitorizeze,
să revizuiască, să mențină și să îmbunătățească securitatea informațiilor
NOTĂ: Sistemul de management include structura organizatorică, politicile,
activitățile de planificare, responsabilitățile, practicile, procedurile, procesele și
resursele.
3.8
integritate
proprietatea de a garanta exactitatea și caracterul complet al activelor [ISO /
IEC 13335-1: 2004]
3.9
risc rezidual
riscul rămas după tratarea riscului [ISO / IEC Guide 73: 2002]
8
3.10
acceptarea riscului
decizia de a accepta un risc [Ghidul ISO / IEC 73: 2002]
3.11
analiza de risc
utilizarea sistematică a informațiilor pentru identificarea surselor și
estimarea riscului [Ghidul ISO / IEC 73: 2002]
3.12
evaluare a riscurilor
proces general de analiză a riscurilor și evaluare a riscurilor [ISO / IEC
Guide 73: 2002]
3.13
evaluarea riscurilor
proces de comparare a riscului estimat față de criteriile de risc date pentru a
determina semnificația riscului [Ghidul ISO / IEC 73: 2002]
3.14
gestionarea riscurilor
activități coordonate care să conducă și să controleze o organizație în ceea ce
privește riscul [ISO / IEC Guide 73: 2002]
3.15
tratamentul cu risc
procesul de selectare și implementare a măsurilor de modificare a riscului
[Ghidul ISO / IEC 73: 2002]
NOTĂ: În acest standard internațional, termenul "control" este folosit ca
sinonim pentru "măsură".
9
3.16
declarație de aplicabilitate
o declarație documentată care descrie obiectivele și controalele de control
relevante și aplicabile ISMS ale organizației.
10
b) Definirea unei politici ISMS în ceea ce privește caracteristicile afacerii,
organizarea, amplasarea, activele și tehnologia care:
11
Metodologia de evaluare a riscurilor selectată trebuie să garanteze că evaluările
riscurilor generează rezultate comparabile și reproductibile.
d) Identificați riscurile.
12
2) Să se evalueze probabilitatea reală de eșecuri de securitate care apar în lumina
amenințărilor și vulnerabilităților predominante și a impactului asociat acestor
active și a controalelor implementate în prezent.
3) evitarea riscurilor; și
13
Obiectivele și controalele de control din anexa A sunt selectate ca parte a acestui
proces ca fiind adecvate pentru acoperirea cerințelor identificate.
14
NOTĂ: Declarația de aplicabilitate oferă un rezumat al deciziilor privind
tratamentul riscului. Justificarea excluderilor oferă o verificare încrucișată a
faptului că nici o comandă nu a fost omisă din greșeală.
15
f) Gestionarea funcționării ISMS.
16
5) să stabilească dacă acțiunile întreprinse pentru soluționarea unei încălcări a
securității au fost eficace.
1) organizația;
2) tehnologie;
4) amenințările identificate;
17
e) Efectuarea auditurilor interne ISMS la intervale planificate (a se vedea 6).
NOTĂ: Auditurile interne, uneori numite audituri de prima parte, sunt efectuate de
către organizație sau în numele acesteia, în scopuri interne.
18
d) Asigurați-vă că îmbunătățirile ating obiectivele propuse.
4.3.1 General
19
g) procedurile documentate necesare organizației pentru a asigura planificarea,
operarea și controlul eficient al proceselor sale de securitate a informațiilor și
descrie modul de măsurare a eficacității controalelor (a se vedea 4.2.3c);
i) Declarația de aplicabilitate.
NOTA 3: Documentele și înregistrările pot fi sub orice formă sau tip de suport.
20
c) să asigure identificarea modificărilor și a stării actuale de revizuire a
documentelor;
21
recuperarea, timpul de păstrare și dispunerea înregistrărilor trebuie să fie
documentate și puse în aplicare.
EXEMPLU
5 Responsabilitatea managementului
22
e) furnizarea de resurse suficiente pentru a stabili, implementa, opera, monitoriza,
revizui, menține și îmbunătăți ISMS (vezi 5.2.1);
23
e) să efectueze revizuiri atunci când este necesar și să reacționeze în mod
corespunzător la rezultatele acestor revizuiri; și
24
6 Audit intern ISMS
25
NOTĂ: ISO 19011: 2002, Ghidul pentru auditul sistemelor de management
al calității și / sau al mediului, poate oferi îndrumări utile pentru efectuarea
auditurilor interne ISMS.
7.1 General
26
h) orice schimbări care ar putea afecta ISMS; și
i) recomandări pentru îmbunătățire.
1) cerințele afacerii;
2) cerințele de securitate;
5) obligații contractuale; și
27
6) nivelurile de risc și / sau criteriile de acceptare a riscurilor.
d) Nevoi de resurse.
8 Îmbunătățirea ISMS
28
d) determinarea și implementarea acțiunilor corective necesare;
29
Prioritatea acțiunilor preventive se determină pe baza rezultatelor evaluării
riscurilor.
Anexa a
(normativ)
30