Organizația Internațională de Standardizare (ISO)

0.1 Generalitati

Acest standard internațional a fost pregătit pentru a oferi un model pentru

stabilirea, implementarea, operarea, monitorizarea, revizuirea, menținerea și
îmbunătățirea unui sistem de management al securității informațiilor (ISMS).
Adoptarea unui ISMS ar trebui să fie o decizie strategică pentru o organizație.
Proiectarea și implementarea ISMS a unei organizații este influențată de nevoile și
obiectivele acestora, cerințele de securitate, procesele utilizate și dimensiunea și
structura organizației. Acestea și sistemele lor de sprijin se așteaptă să se schimbe
în timp. Este de așteptat ca o implementare ISMS să fie redimensionată în funcție
de nevoile organizației, de ex. o situație simplă necesită o soluție simplă ISMS.

Acest standard internațional poate fi utilizat pentru a evalua conformitatea

părților interne și externe interesate.

0.2 Abordarea procesului

Acest standard internațional adoptă o abordare procesuală pentru stabilirea,

implementarea, operarea, monitorizarea, revizuirea, menținerea și îmbunătățirea
ISMS a unei organizații.
O organizație trebuie să identifice și să gestioneze multe activități pentru a
funcționa eficient. Orice activitate care utilizează resurse și gestionate pentru a
permite transformarea intrărilor în ieșiri poate fi considerată a fi un proces. Adesea,
ieșirea dintr-un singur proces formează direct intrarea în procesul următor.

1
 Aplicarea unui sistem de procese în cadrul unei organizații, împreună cu
identificarea și interacțiunile acestor procese, precum și gestionarea acestora, pot fi
denumite "abordări de proces".

Abordarea procesului de gestionare a securității informațiilor prezentată în

acest standard internațional încurajează utilizatorii săi să sublinieze importanța:

a) înțelegerea cerințelor organizației de securitate a informațiilor și necesitatea de a

stabili o politică și obiective pentru securitatea informațiilor;

b) implementarea și funcționarea controalelor pentru gestionarea riscurilor de

securitate a informațiilor ale unei organizații în contextul riscurilor generale de
afaceri ale organizației;

c) monitorizarea și revizuirea performanței și eficacității ISMS; și

d) îmbunătățirea continuă bazată pe măsurarea obiectivă

Acest standard internațional adoptă modelul "Plan-Do-Check-Act" (PDCA),

care se aplică structurării tuturor proceselor ISMS. Figura 1 ilustrează modul în
care un ISMS ia ca intrări cerințele de securitate a informațiilor și așteptările
părților interesate și prin acțiunile și procesele necesare generează rezultate de
securitate a informațiilor care îndeplinesc aceste cerințe și așteptări. Figura 1
ilustrează de asemenea legăturile din procesele prezentate în clauzele 4, 5, 6, 7 și 8.

Adoptarea modelului PDCA va reflecta, de asemenea, principiile stabilite în

Orientările OCDE (2002) 1) care reglementează securitatea sistemelor și a rețelelor
de informații. Acest standard internațional oferă un model robust pentru punerea în
aplicare a principiilor din acele linii directoare care reglementează evaluarea

2
riscurilor, proiectarea și punerea în aplicare a securității, gestionarea securității și
reevaluarea.

EXEMPLUL 1

O cerință ar putea fi faptul că încălcările securității informațiilor nu vor

provoca daune financiare grave unei organizații și / sau nu vor provoca stânjenire
organizației.

EXEMPLUL 2

Se poate aștepta ca, dacă apare un incident grav - poate hacking site-ul web
al unei organizații eBusiness - ar trebui să existe oameni cu o pregătire suficientă
în proceduri adecvate pentru a minimiza impactul.

Plan
Interested Interested
Parties Establish Parties
ISMS

Implement and Maintain and

Do Act
operate the ISMS improve the ISMS

Monitor and
Information review the ISMS
Managed
security Check
and security
expectations

Figura 1 - Modelul PDCA aplicat proceselor ISMS

3
 Plan (stabilirea ISMS)
Faceți (implementați și
operați ISMS)
Stabilirea politicii, obiectivelor, proceselor și procedurilor ISMS relevante
pentru gestionarea riscurilor și îmbunătățirea securității informațiilor pentru
a furniza rezultate în concordanță cu politicile și obiectivele generale ale unei
organizații.
Proceduri de implementare și de a opera politica SMSI, controalele,
procesele și

Verificați (monitorizați și Evaluați și, unde este cazul, măsurați performanța procesului în funcție de
revizuiți ISMS) politica ISMS, obiectivele și experiența practică și raportați rezultatele spre
examinare conducerii.

Act (menține și Acțiunile corective și preventive, bazate pe rezultatele auditului intern intern
îmbunătățește sistemul și a revizuirii managementului sau a altor informații relevante, pentru
ISMS) îmbunătățirea continuă a ISMS.

0.3 Compatibilitate cu alte sisteme de management

Acest standard internațional este aliniat la ISO 9001: 2000 și ISO 14001:
2004 pentru a sprijini punerea în aplicare și funcționarea consecventă și integrată
cu standardele de management aferente. Un sistem de management proiectat
corespunzător poate îndeplini astfel cerințele tuturor acestor standarde. Tabelul C.1
ilustrează relația dintre clauzele acestui standard internațional, ISO 9001: 2000 și
ISO 14001: 2004.

Acest standard internațional este conceput pentru a permite unei organizații

să-și alinieze sau să integreze ISMS-ul cu cerințele sistemului de management
asociat.

4
 Tehnologia informației - Tehnici de securitate -
Sisteme de management al securității informațiilor –
Cerințe

1 Domeniul de aplicare

1.1 Generalități
Acest standard internațional acoperă toate tipurile de organizații (de
exemplu, întreprinderi comerciale, agenții guvernamentale, organizații non-profit).
Acest standard internațional specifică cerințele pentru stabilirea, implementarea,
operarea, monitorizarea, revizuirea, menținerea și îmbunătățirea unui ISMS
documentat în contextul riscurilor globale de afaceri ale organizației. Specifică
cerințele pentru implementarea controalelor de securitate adaptate nevoilor
organizațiilor individuale sau ale părților acestora.

ISMS este conceput pentru a asigura selectarea unor controale de securitate

adecvate și proporționale care să protejeze activele informatice și să ofere
încredere părților interesate.

NOTA 1: Referințele la "afaceri" din acest standard internațional ar trebui

interpretate în sens larg pentru a desemna acele activități care sunt esențiale
scopurilor existenței organizației.

NOTA 2: ISO / IEC 17799 furnizează îndrumări de implementare care pot fi

utilizate la proiectarea comenzilor.

5
 1.2 Aplicare

Cerințele stabilite în prezentul standard internațional sunt generice și sunt

destinate să fie aplicabile tuturor organizațiilor, indiferent de tipul, mărimea și
natura lor. Excluderea oricăreia dintre cerințele specificate la clauzele 4, 5, 6, 7 și 8
nu este acceptabilă atunci când o organizație pretinde conformitatea cu acest
standard internațional.

Orice excludere a controalelor considerate a fi necesară pentru a îndeplini

criteriile de acceptare a riscurilor trebuie justificată și trebuie furnizate dovezi că
riscurile asociate au fost acceptate de către persoanele responsabile. În cazul în
care sunt excluse controalele, revendicările de conformitate cu acest standard
internațional nu sunt acceptabile decât dacă astfel de excluderi nu afectează
capacitatea organizației și / sau responsabilitatea acesteia de a furniza securitatea
informațiilor care să îndeplinească cerințele de securitate stabilite prin evaluarea
riscurilor și cerințele legale sau reglementare aplicabile .

NOTĂ: Dacă o organizație are deja un sistem operativ de management al

procesului de afaceri (de ex. În legătură cu ISO 9001 sau ISO 14001), este de
preferat, în majoritatea cazurilor, satisfacerea cerințelor acestui standard
internațional în cadrul acestui sistem de management existent.

2 Referințe normative

Următoarele documente menționate sunt indispensabile pentru aplicarea

acestui document. Pentru referințe date, se aplică numai ediția citată. Pentru
referințele nedatate, se aplică ultima ediție a documentului referit (inclusiv orice
modificări).
ISO / IEC 17799: 2005, Tehnologia informației - Tehnici de securitate - Cod
de practică pentru managementul securității informațiilor

6
 3 Termeni și definiții

În sensul prezentului document, se aplică următorii termeni și definiții.

3.1
activ
orice valoare a organizației [ISO / IEC 13335-1: 2004]
3.2
disponibilitate
proprietatea de a fi accesibilă și utilizabilă la cererea unei entități autorizate
[ISO / IEC 13335-1: 2004]
3.3
confidențialitate
proprietatea că informațiile nu sunt puse la dispoziție sau dezvăluite
persoanelor, entităților sau proceselor neautorizate
[ISO / IEC 13335-1: 2004]

3.4
securitatea informațiilor
păstrarea confidențialității, integrității și disponibilității informațiilor; în
plus, pot fi implicate și alte proprietăți, cum ar fi autenticitatea, răspunderea, non-
repudierea și fiabilitatea
[ISO / CEI 17799: 2005]

3.5
eveniment de securitate informatică

7
 o incidență identificată a unui sistem, a unui serviciu sau a unei rețele care
indică o posibilă încălcare a politicii de securitate a informațiilor sau o eșec al
garanțiilor sau o situație necunoscută anterior care ar putea fi relevantă în materie
de securitate
[ISO / IEC TR 18044: 2004]

3.6
incident de securitate informatică
o singură serie sau o serie de evenimente de securitate a informațiilor
nedorite sau neașteptate care au o probabilitate semnificativă de a compromite
operațiunile de afaceri și amenință securitatea informațiilor
[ISO / IEC TR 18044: 2004]

3.7
sistemul de management al securității informației ISMS
acea parte a sistemului global de management, bazată pe o abordare a
riscului de afaceri, să stabilească, să pună în aplicare, să opereze, să monitorizeze,
să revizuiască, să mențină și să îmbunătățească securitatea informațiilor
NOTĂ: Sistemul de management include structura organizatorică, politicile,
activitățile de planificare, responsabilitățile, practicile, procedurile, procesele și
resursele.

3.8
integritate
proprietatea de a garanta exactitatea și caracterul complet al activelor [ISO /
IEC 13335-1: 2004]
3.9
risc rezidual
riscul rămas după tratarea riscului [ISO / IEC Guide 73: 2002]
8
 3.10
acceptarea riscului
decizia de a accepta un risc [Ghidul ISO / IEC 73: 2002]
3.11
analiza de risc
utilizarea sistematică a informațiilor pentru identificarea surselor și
estimarea riscului [Ghidul ISO / IEC 73: 2002]
3.12
evaluare a riscurilor
proces general de analiză a riscurilor și evaluare a riscurilor [ISO / IEC
Guide 73: 2002]
3.13
evaluarea riscurilor
proces de comparare a riscului estimat față de criteriile de risc date pentru a
determina semnificația riscului [Ghidul ISO / IEC 73: 2002]
3.14
gestionarea riscurilor
activități coordonate care să conducă și să controleze o organizație în ceea ce
privește riscul [ISO / IEC Guide 73: 2002]
3.15
tratamentul cu risc
procesul de selectare și implementare a măsurilor de modificare a riscului
[Ghidul ISO / IEC 73: 2002]
NOTĂ: În acest standard internațional, termenul "control" este folosit ca
sinonim pentru "măsură".

9
 3.16
declarație de aplicabilitate
o declarație documentată care descrie obiectivele și controalele de control
relevante și aplicabile ISMS ale organizației.

NOTĂ: Obiectivele și controalele de control se bazează pe rezultatele și

concluziile proceselor de evaluare a riscurilor și de tratare a riscurilor, cerințele
legale sau de reglementare, obligațiile contractuale și cerințele de afaceri ale
organizației pentru securitatea informațiilor.

4 Information security management system

4.1 General requirements

The organization shall establish, implement, operate, monitor,

review, maintain and improve a documented ISMS within the
context of the organization’s overall business activities and the risks
it faces. For the purposes of this International Standard the process
used is based on the PDCA model shown in Figure 1.

4.2 Stabilirea și gestionarea ISMS

4.2.1 Stabilirea ISMS

Organizația va face următoarele.

a) să definească domeniul de aplicare și limitele ISMS în ceea ce privește

caracteristicile afacerii, organizarea, amplasarea, activele și tehnologia și să includă
detalii și justificări pentru eventualele excluderi din domeniul de aplicare (a se
vedea punctul 1.2).

10
b) Definirea unei politici ISMS în ceea ce privește caracteristicile afacerii,
organizarea, amplasarea, activele și tehnologia care:

1) include un cadru pentru stabilirea obiectivelor și stabilește un sens general al

direcției și principiilor de acțiune în ceea ce privește securitatea informațiilor;

2) ia în considerare cerințele comerciale și legale sau de reglementare și obligațiile

de securitate contractuale;

3) se aliniază cu contextul strategic al managementului riscului organizației în care

va avea loc stabilirea și întreținerea ISMS;

4) stabilește criteriile pentru evaluarea riscului (a se vedea 4.2.1c); și

5) a fost aprobat de conducere.

NOTĂ: În sensul prezentului standard internațional, politica ISMS este considerată

o supersetare a politicii de securitate a informațiilor. Aceste politici pot fi descrise
într-un singur document.

c) Definiți abordarea de evaluare a riscului a organizației.

1) Identificați o metodologie de evaluare a riscurilor care este adecvată pentru

ISMS și cerințele de securitate, cerințele legale și de reglementare identificate.

2) Elaborarea criteriilor de acceptare a riscurilor și identificarea nivelurilor

acceptabile de risc. (vezi 5.1f)).

11
Metodologia de evaluare a riscurilor selectată trebuie să garanteze că evaluările
riscurilor generează rezultate comparabile și reproductibile.

NOTĂ: Există metodologii diferite pentru evaluarea riscurilor. Exemple de

metodologii de evaluare a riscurilor sunt discutate în ISO / IEC TR 13335-3,
Tehnologia informației - Linii directoare pentru managementul securității IT -
Tehnici pentru managementul securității IT.

d) Identificați riscurile.

1) Identificați activele care intră în domeniul de aplicare al ISMS și proprietarii2)

acestor active.

2) Identificați amenințările la adresa acestor bunuri.

3) Identificați vulnerabilitățile care ar putea fi exploatate de amenințări.

4) Identificați impacturile pe care le pot avea pierderile de confidențialitate,

integritate și disponibilitate asupra activelor.

e) Analizați și evaluați riscurile.

1) să evalueze impactul asupra întreprinderii asupra organizației care ar putea

rezulta din eșecurile de securitate, ținând seama de consecințele unei pierderi de
confidențialitate, integritate sau disponibilitate a activelor.

12
2) Să se evalueze probabilitatea reală de eșecuri de securitate care apar în lumina
amenințărilor și vulnerabilităților predominante și a impactului asociat acestor
active și a controalelor implementate în prezent.

3) Estimați nivelul riscurilor.

4) Determinați dacă riscurile sunt acceptabile sau necesită un tratament utilizând

criteriile de acceptare a riscurilor stabilite la punctul 4.2.1c) 2).

f) Identificarea și evaluarea opțiunilor pentru tratarea riscurilor.

Acțiunile posibile includ:

1) aplicarea controalelor adecvate;

2) acceptarea în mod conștient și obiectiv a riscurilor, cu condiția să respecte în

mod clar politicile organizației și criteriile de acceptare a riscurilor (a se vedea
4.2.1c) 2));

3) evitarea riscurilor; și

4) transferarea riscurilor de afaceri asociate altor părți, de ex. asiguratori, furnizori.

g) Selectați obiectivele de control și controalele pentru tratarea riscurilor.

Obiectivele și controalele de control vor fi selectate și implementate pentru a

îndeplini cerințele identificate de procesul de evaluare a riscurilor și de tratare a
riscurilor. Această selecție ține seama de criteriile de acceptare a riscurilor (a se
vedea 4.2.1c) 2), precum și de cerințele legale, de reglementare și contractuale.

13
Obiectivele și controalele de control din anexa A sunt selectate ca parte a acestui
proces ca fiind adecvate pentru acoperirea cerințelor identificate.

Obiectivele și controalele de control enumerate în anexa A nu sunt exhaustive și

pot fi de asemenea selectate obiective și controale suplimentare de control.

NOTĂ: Anexa A conține o listă cuprinzătoare de obiective și controale de control

care s-au dovedit a fi în mod obișnuit relevante în cadrul organizațiilor. Utilizatorii
acestui standard internațional sunt direcționați către anexa A ca punct de plecare
pentru selectarea controlului pentru a se asigura că nu sunt neglijate opțiunile de
control importante.

h) să obțină aprobarea de către conducere a riscurilor reziduale propuse.

i) Obținerea autorizației de management pentru implementarea și operarea ISMS.

j) Pregătiți o declarație de aplicabilitate.

Se va întocmi o declarație de aplicabilitate care include următoarele:

1) obiectivele și controalele de control selectate în 4.2.1g) și motivele pentru care

au fost selectate;

2) obiectivele de control și controalele aplicate în prezent (a se vedea 4.2.1e) 2)); și

3) excluderea oricăror obiective și controale de control din anexa A și justificarea

excluderii acestora.

14
NOTĂ: Declarația de aplicabilitate oferă un rezumat al deciziilor privind
tratamentul riscului. Justificarea excluderilor oferă o verificare încrucișată a
faptului că nici o comandă nu a fost omisă din greșeală.

4.2.2 Implementarea și operarea ISMS

Organizația va face următoarele.

a) Formulează un plan de tratare a riscurilor care identifică acțiunea, resursele,

responsabilitățile și prioritățile adecvate de management pentru gestionarea
riscurilor de securitate a informațiilor (a se vedea 5).

b) Punerea în aplicare a planului de tratare a riscurilor pentru atingerea obiectivelor

de control identificate, care include luarea în considerare a finanțării și alocării de
roluri și responsabilități.

c) să implementeze controalele selectate în 4.2.1g) pentru a îndeplini obiectivele de

control.

d) Definirea modului de măsurare a eficacității controalelor sau grupurilor de

controale selectate și specificarea modului în care aceste măsurători urmează a fi
utilizate pentru a evalua eficiența controlului pentru a obține rezultate comparabile
și reproductibile (a se vedea 4.2.3c).

NOTĂ: Măsurarea eficienței controalelor permite managerilor și personalului să

determine modul în care controalele ating obiectivele de control planificate.

e) Implementarea programelor de instruire și conștientizare (a se vedea 5.2.2).

15
f) Gestionarea funcționării ISMS.

g) Gestionați resursele pentru ISMS (vezi 5.2).

h) să pună în aplicare procedurile și alte controale capabile să permită detectarea

promptă a evenimentelor de securitate și răspunsul la incidentele de securitate (a se
vedea 4.2.3a)].

4.2.3 Monitorizarea și revizuirea ISMS

Organizația va face următoarele.

a) Execută procedurile de monitorizare și revizuire și alte controale pentru:

1) detectarea rapidă a erorilor în rezultatele procesării;

2) să identifice cu promptitudine încălcările și incidentele de încercare și de succes

ale securității;

3) să permită conducerii să determine dacă activitățile de securitate delegate

persoanelor sau implementate de tehnologia informației funcționează conform
așteptărilor;

4) ajuta la detectarea evenimentelor de securitate și, prin urmare, la prevenirea

incidentelor de securitate prin utilizarea indicatorilor; și

16
5) să stabilească dacă acțiunile întreprinse pentru soluționarea unei încălcări a
securității au fost eficace.

b) să efectueze revizuiri periodice ale eficacității ISMS (inclusiv respectarea

politicii și obiectivelor ISMS și revizuirea controalelor de securitate), ținând cont
de rezultatele auditurilor de securitate, incidentelor, rezultatelor măsurătorilor de
eficacitate, sugestiilor și feedback-ului de la toate părțile interesate.

c) Măsurați eficacitatea controalelor pentru a verifica dacă cerințele de securitate

au fost îndeplinite.

d) Revizuirea evaluărilor riscurilor la intervale planificate și revizuirea riscurilor

reziduale și a nivelurilor acceptabile de risc identificate, ținând seama de
modificările aduse:

1) organizația;

2) tehnologie;

3) obiectivele și procesele de afaceri;

4) amenințările identificate;

5) eficacitatea controalelor implementate; și

6) evenimente externe, cum ar fi schimbările aduse mediului juridic sau de

reglementare, modificarea obligațiilor contractuale și schimbările climatului social.

17
e) Efectuarea auditurilor interne ISMS la intervale planificate (a se vedea 6).

NOTĂ: Auditurile interne, uneori numite audituri de prima parte, sunt efectuate de
către organizație sau în numele acesteia, în scopuri interne.

f) Realizarea unei revizuiri manageriale a ISMS în mod regulat pentru a se asigura

că domeniul de aplicare rămâne adecvat și că sunt identificate îmbunătățiri ale
procesului ISMS (a se vedea 7.1).

g) să actualizeze planurile de securitate pentru a ține seama de rezultatele

activităților de monitorizare și revizuire.

h) să înregistreze acțiunile și evenimentele care ar putea avea un impact asupra

eficacității sau performanței ISMS (a se vedea 4.3.3).

4.2.4 Menținerea și îmbunătățirea ISMS

Organizația va face în mod regulat următoarele:

a) Implementarea îmbunătățirilor identificate în ISMS.

b) să ia măsurile corective și preventive corespunzătoare în conformitate cu 8.2 și

8.3. Aplicați lecțiile învățate din experiențele de securitate ale altor organizații și
ale organizației în sine.

c) să comunice acțiunile și îmbunătățirile tuturor părților interesate cu un nivel de

detaliere adecvat circumstanțelor și, după caz, să convină asupra modului în care
trebuie să procedeze.

18
d) Asigurați-vă că îmbunătățirile ating obiectivele propuse.

4.3 Cerințe de documentare

4.3.1 General

Documentația include înregistrări ale deciziilor de gestionare, se asigură că

acțiunile sunt urmărite de deciziile și politicile de management și se asigură că
rezultatele înregistrate sunt reproductibile.

Este important să se demonstreze relația dintre controalele selectate înapoi la

rezultatele procesului de evaluare a riscurilor și de tratare a riscurilor și, ulterior,
înapoi la politica și obiectivele ISMS.

Documentația ISMS include:

a) afirmațiile documentate ale politicii ISMS (vezi 4.2.1b)) și obiectivele;

b) domeniul de aplicare al ISMS (a se vedea 4.2.1a));

c) proceduri și controale în sprijinul ISMS;

d) o descriere a metodologiei de evaluare a riscurilor (a se vedea 4.2.1c)];

e) raportul de evaluare a riscurilor (a se vedea 4.2.1c) până la 4.2.1g));

f) planul de tratament al riscului (vezi 4.2.2b));

19
g) procedurile documentate necesare organizației pentru a asigura planificarea,
operarea și controlul eficient al proceselor sale de securitate a informațiilor și
descrie modul de măsurare a eficacității controalelor (a se vedea 4.2.3c);

h) înregistrările cerute de prezentul standard internațional (a se vedea 4.3.3); și

i) Declarația de aplicabilitate.

NOTA 1: În cazul în care termenul "procedură documentată" apare în acest

standard internațional, aceasta înseamnă că procedura este stabilită, documentată,
implementată și menținută.

NOTA 2: Mărimea documentației ISMS poate fi diferită de la o organizație la alta

datorită:
- dimensiunea organizației și tipul activităților sale; și
- sfera și complexitatea cerințelor de securitate și a sistemului gestionat.

NOTA 3: Documentele și înregistrările pot fi sub orice formă sau tip de suport.

4.3.2 Controlul documentelor

Documentele solicitate de ISMS trebuie să fie protejate și controlate. Se

stabilește o procedură documentată pentru definirea acțiunilor de gestionare
necesare pentru:
a) aprobă documentele de adecvare înainte de emitere;

b) să revizuiască și să actualizeze documentele necesare și să aprobe din nou

documentele;

20
c) să asigure identificarea modificărilor și a stării actuale de revizuire a
documentelor;

d) se asigură că versiunile relevante ale documentelor aplicabile sunt disponibile în

punctele de utilizare;

e) să se asigure că documentele rămân lizibile și ușor de identificat;

f) să se asigure că documentele sunt disponibile celor care au nevoie de ele și sunt

transferate, stocate și eliminate în cele din urmă în conformitate cu procedurile
aplicabile clasificării acestora;

g) să asigure identificarea documentelor de origine externă;

h) se asigură că distribuirea documentelor este controlată;

i) să împiedice utilizarea neintenționată a documentelor învechite; și

j) să le aplice o identificare adecvată dacă sunt reținute în orice scop.

4.3.3 Controlul înregistrărilor

Se stabilesc și se păstrează înregistrări pentru a dovedi conformitatea cu

cerințele și funcționarea eficientă a ISMS. Acestea trebuie să fie protejate și
controlate. ISMS ține seama de orice cerințe legale sau reglementare relevante și
de obligații contractuale. Înregistrările trebuie să rămână lizibile, ușor de identificat
și recuperabile. Controalele necesare pentru identificarea, stocarea, protecția,

21
recuperarea, timpul de păstrare și dispunerea înregistrărilor trebuie să fie
documentate și puse în aplicare.

Se vor ține evidența performanței procesului, așa cum se subliniază la

punctul 4.2, și a tuturor aparițiilor unor incidente semnificative de securitate legate
de ISMS.

EXEMPLU

Exemple de înregistrări sunt o carte de vizitatori, rapoarte de audit și formulare de

autorizare de acces completate.

5 Responsabilitatea managementului

5.1 Angajament de management

Conducerea va furniza dovezi privind angajamentul său de a stabili,

implementa, opera, monitoriza, revizui, menține și îmbunătăți ISMS prin:
a) stabilirea unei politici ISMS;

b) asigurarea stabilirii obiectivelor și planurilor ISMS;

c) stabilirea rolurilor și responsabilităților pentru securitatea informațiilor;

d) comunicarea către organizație a importanței îndeplinirii obiectivelor de

securitate a informațiilor și conforme cu politica de securitate a informațiilor,
responsabilitățile sale în temeiul legii și necesitatea îmbunătățirii continue;

22
e) furnizarea de resurse suficiente pentru a stabili, implementa, opera, monitoriza,
revizui, menține și îmbunătăți ISMS (vezi 5.2.1);

f) stabilirea criteriilor de acceptare a riscurilor și a nivelurilor acceptabile de risc;

g) asigurarea efectuării auditurilor interne ISMS (a se vedea 6); și

h) efectuarea reviziilor de conducere ale ISMS (a se vedea 7).

5.2 Gestionarea resurselor

5.2.1 Furnizarea de resurse

Organizația trebuie să stabilească și să furnizeze resursele necesare pentru:

a) să stabilească, să pună în aplicare, să opereze, să monitorizeze, să revizuiască, să
mențină și să îmbunătățească un ISMS

b) să se asigure că procedurile de securitate a informațiilor sprijină cerințele

afacerii;

c) să identifice și să abordeze cerințele legale și de reglementare și obligațiile

contractuale de securitate;

d) să mențină o siguranță adecvată prin aplicarea corectă a tuturor controalelor

implementate;

23
e) să efectueze revizuiri atunci când este necesar și să reacționeze în mod
corespunzător la rezultatele acestor revizuiri; și

f) dacă este necesar, îmbunătățirea eficacității ISMS.

5.2.2 Formare, conștientizare și competență

Organizația se asigură că toți membrii personalului cărora li se atribuie

responsabilitățile definite în ISMS sunt competenți să îndeplinească sarcinile
cerute prin:
a) determinarea competențelor necesare pentru personalul care efectuează
activitatea care efectuează ISMS;

b) furnizarea de formare sau luarea altor acțiuni (de exemplu angajarea

personalului competent) pentru a satisface aceste nevoi;

c) evaluarea eficacității acțiunilor întreprinse; și

d) păstrarea înregistrărilor privind educația, formarea, competențele, experiența și

calificările (a se vedea 4.3.3).

Organizația trebuie, de asemenea, să se asigure că toate persoanele relevante

sunt conștiente de relevanța și importanța activităților lor de securitate a
informațiilor și de modul în care acestea contribuie la realizarea obiectivelor ISMS.

24
 6 Audit intern ISMS

Organizația efectuează audituri interne ISMS la intervale planificate pentru a

determina dacă obiectivele, controalele, procesele și procedurile de control ale
ISMS sunt:
a) să respecte cerințele prezentului standard internațional și ale legislației sau
reglementărilor relevante;

b) să respecte cerințele de securitate a informațiilor identificate;

c) sunt implementate și întreținute efectiv; și

d) efectuați conform așteptărilor.

Se planifică un program de audit, ținând cont de statutul și importanța

proceselor și a domeniilor care trebuie auditate, precum și de rezultatele auditurilor
anterioare. Se definesc criteriile de audit, domeniul de aplicare, frecvența și
metodele. Selecția auditorilor și desfășurarea auditurilor trebuie să asigure
obiectivitatea și imparțialitatea procesului de audit. Auditorii nu trebuie să-și
controleze propria activitate.

Responsabilitățile și cerințele pentru planificarea și desfășurarea auditurilor,

precum și pentru raportarea rezultatelor și păstrarea înregistrărilor (a se vedea
4.3.3) vor fi definite printr-o procedură documentată.

Conducerea responsabilă pentru zona în curs de audit trebuie să se asigure că

sunt întreprinse fără întârzieri nejustificate măsuri de eliminare a neconformităților
detectate și a cauzelor acestora. Activitățile ulterioare includ verificarea acțiunilor
întreprinse și raportarea rezultatelor verificărilor (a se vedea punctul 8).

25
 NOTĂ: ISO 19011: 2002, Ghidul pentru auditul sistemelor de management
al calității și / sau al mediului, poate oferi îndrumări utile pentru efectuarea
auditurilor interne ISMS.

7 Revizuirea managementului ISMS

7.1 General

Conducerea va revizui sistemul ISMS al organizației la intervale planificate

(cel puțin o dată pe an) pentru a se asigura că este adecvată, adecvată și eficientă în
continuare. Această revizuire include evaluarea oportunităților de îmbunătățire și
necesitatea modificării ISMS, inclusiv a politicilor de securitate a informațiilor și a
obiectivelor de securitate a informațiilor. Rezultatele revizuirilor trebuie să fie clar
documentate și înregistrările trebuie păstrate (a se vedea 4.3.3).

7.2 Intrare de revizuire

Contribuția la o revizuire de gestiune include:

a) rezultatele auditurilor și revizuirilor ISMS;
b) feedback de la părțile interesate;
c) tehnici, produse sau proceduri care ar putea fi utilizate în organizație
pentru a îmbunătăți performanța și eficacitatea ISMS;
d) stadiul acțiunilor preventive și corective;
e) vulnerabilități sau amenințări care nu au fost abordate în mod adecvat în
evaluarea anterioară a riscurilor;
f) rezultă din măsurători de eficacitate;
g) acțiuni de urmărire din revizuirile precedente ale conducerii;

26
 h) orice schimbări care ar putea afecta ISMS; și
i) recomandări pentru îmbunătățire.

7.3 Examinarea rezultatelor

Rezultatele analizei de gestiune includ orice decizii și acțiuni legate de

următoarele.

a) Îmbunătățirea eficacității ISMS.

b) Actualizarea planului de evaluare a riscurilor și de tratament al riscului.

c) Modificarea procedurilor și a controalelor care determină securitatea

informațiilor, dacă este necesar, pentru a răspunde la evenimentele interne sau
externe care ar putea avea impact asupra ISMS, inclusiv modificările aduse:

1) cerințele afacerii;

2) cerințele de securitate;

3) procese de afaceri care să îndeplinească cerințele de afaceri existente;

4) cerințe de reglementare sau juridice;

5) obligații contractuale; și

27
 6) nivelurile de risc și / sau criteriile de acceptare a riscurilor.

d) Nevoi de resurse.

e) Îmbunătățirea măsurării eficienței controalelor.

8 Îmbunătățirea ISMS

8.1 Îmbunătățirea continuă

Organizația trebuie să îmbunătățească continuu eficacitatea ISMS prin

utilizarea politicii de securitate a informațiilor, a obiectivelor de securitate a
informațiilor, a rezultatelor auditului, a analizei evenimentelor monitorizate, a
acțiunilor corective și preventive și a revizuirii de către conducere (a se vedea 7).

8.2 Acțiune corectivă

Organizația trebuie să ia măsuri pentru a elimina cauza neconformităților

conform cerințelor ISMS pentru a preveni recurența. Procedura documentată
pentru măsuri corective trebuie să definească cerințe pentru:
a) identificarea neconformităților;

b) determinarea cauzelor neconformităților;

c) evaluarea nevoii de acțiuni pentru a se asigura că neconformitățile nu se

repetă;

28
 d) determinarea și implementarea acțiunilor corective necesare;

e) înregistrarea rezultatelor acțiunii întreprinse (a se vedea 4.3.3); și

f) revizuirea acțiunilor corective întreprinse.

8.3 Acțiune preventivă

Organizația trebuie să determine acțiunea de eliminare a cauzelor

potențialelor neconformități în conformitate cu cerințele ISMS, pentru a preveni
apariția acestora. Acțiunile de prevenire luate trebuie să fie adecvate impactului
potențialelor probleme. Procedura documentată pentru acțiunea preventivă trebuie
să definească cerințe pentru:
a) identificarea potențialelor neconformități și a cauzelor acestora;

b) evaluarea nevoii de acțiune pentru a preveni apariția neconformităților;

c) determinarea și implementarea acțiunilor preventive necesare;

d) înregistrarea rezultatelor acțiunii întreprinse (a se vedea 4.3.3); și

e) revizuirea acțiunilor preventive întreprinse.

Organizația trebuie să identifice riscurile modificate și să identifice cerințele

de acțiune preventivă care să acorde atenție riscurilor modificate semnificativ.

29
 Prioritatea acțiunilor preventive se determină pe baza rezultatelor evaluării
riscurilor.

NOTĂ: Acțiunea de prevenire a neconformităților este adesea mai rentabilă

decât acțiunea corectivă.

Anexa a
(normativ)

Obiective și controale de control

Obiectivele de control și controalele enumerate în tabelul A.1 sunt direct

derivate din și aliniate cu cele enumerate în clauzele 5-15 din standardul ISO / IEC
17799: 2005. Listele din tabelul A.1 nu sunt exhaustive și o organizație poate
considera că controlul suplimentar obiectivele și controalele sunt necesare.
Obiectivele și controalele de control din aceste tabele se selectează ca parte a
procesului ISMS specificat la punctul 4.2.1.

Standardele ISO / IEC 17799: 2005 Clauzele 5-15 furnizează sfaturi și

îndrumări de implementare privind cele mai bune practici în sprijinul controalelor
specificate în A.5-A.15.

30