Documente Academic
Documente Profesional
Documente Cultură
Orice excludere a masurilor de securitate care sunt necesare pentru a satisface criteriile de
acceptare a riscului trebuie sa fie justificata si trebuie furnizate dovezi ca riscurile associate
au fost acceptate de catre persoanele responsabile. Atunci când oricare dintre măsuri este
exclusă, pretenţiile de conformitate cu acest standard internaţional nu sunt acceptabile
decât dacă asemenea excluderi nu afectează capacitatea organizaţiei si/sau
responsabilitatea de a furniza o securitate a informaţiei care să îndeplinească cerinţele
de securitate determinate de evaluarea riscului şi cerinţelor legale sau a reglementarilor
aplicabile.
2 Referințe normative
Următoarele documente, în totalitate sau parțial, sunt referite în acest normativ document, și
sunt indispensabile pentru aplicarea acesteia. Pentru referintele datate, numai ediția citată se
aplică. Pentru referintele nedatate, se aplică ultima ediție a documentului de referință (inclusiv
orice amendamente).
3.Termeni şi definiţii
3.1
Resurse orice prezintă valoare pentru organizaţie [ISO/IEC 13335-1:2004]
3.2
Disponibilitate proprietatea de a fi accesibil şi utilizabil la cerere de către o entitate
autorizată [ISO/IEC 13335-1:2004]
3.3
Confidenţialitate proprietatea ca informaţia să nu fie făcută disponibilă sau
divulgată persoanelor, entităţilor sau proceselor neautorizate
[ISO/IEC 13335-1:2004]
3.4
Securitatea informaţiei păstrarea confidenţialităţii, integrităţii şi a disponibilităţii
informaţiei; în plus, alte proprietăţi precum autenticitatea, responsabilitatea, non-
repudierea şi fiabilitatea pot fi de asemenea implicate
[ISO/IEC 17799:2005]
3.5
Eveniment de securitate a informaţiilor situaţie identificată în legătură cu un sistem,
un serviciu sau o reţea care indică o posibilă încălcare a politicii de securitate a
informaţiilor, un eşec al măsurilor de protecţie sau o situaţie ignorată anterior, dar
relevantă din punct de vedere al securităţii.
[ISO/IEC TR 18044:2004]
3.6
incident privind securitatea informaţiei
[ISO/IEC TR 18044:2004]
3.7
sistem de management al securităţii
informaţiei SMSI
3.8
Integritate proprietatea de a păstra acurateţea şi deplinătatea resurselor [ISO/IEC
13335-1:2004]
3.9
Risc residual riscul care rămâne după tratarea riscului [ISO/IEC Guide 73:2002]
3.10
Acceptarea riscului decizie de acceptare a unui risc [ISO/IEC Guide 73:2002]
3.11
Analiza riscului utilizarea sistematică a informaţiei pentru a identifica sursele şi pentru
a estima riscul [ISO/IEC Guide 73:2002]
3.12
Determinarea riscului procesul global de analiză şi evaluare a riscului [ISO/IEC Guide
73:2002]
3.13
Evaluarea riscului proces de comparare a riscului estimat cu criteriile de risc
agreate în vederea stabilirii importanţei riscului
3.14
managementul riscului activităţi coordonate pentru îndrumarea şi controlul unei
organizaţii luând în considerare riscurile [ISO/IEC Guide 73:2002]
3.16
Declaraţie de aplicabilitate declaraţie documentată care descrie obiectivele de control
şi măsurile de securitate care sunt relevante şi aplicabile SMSI al organizaţiei.
4.Contextul organizatiei
Organizația trebuie să determine aspectele externe și interne care sunt relevante pentru scopul său și
care afectează capacitatea sa de a atinge rezultatul urmărit (e) a sistemului său de gestionare a
informațiilor de securitate.
a) părțile interesate, care sunt relevante pentru sistemul de management al securității informației; și
NOTĂ Cerințele părților interesate pot include cerințe legale și de reglementare și obligațiile
contractuale.
c) interfețele și dependențe între activitățile desfășurate de organizația, iar cele care sunt efectuate
de către alte organizații.
Organizaţia trebuie:
4) să stabilească criteriile pe baza cărora riscul trebuie să fie evaluat (a se vedea 4.2.1c)); şi
NOTĂ - în sensul acestui standard internaţional, politica SMSI este considerată ca fiind nivelul superior al
politicilor de securitate a informaţiei. Aceste politici pot fi menţionate într-un singur document.
NOTĂ: Există metodologii diferite de determinare a riscului. Exemple ale metodologiilor de evaluare a
riscului sunt discutate în ISO/IEC TR 13335-3, Information technology — Guidelines for the management
of IT Security — Techniques for the management of IT Security
d) să identifice riscurile.
1) să evalueze impactul asupra afacerii organizaţiei care poate rezulta în urma unor
incidente de securitate, ţinându-se cont de consecinţele pierderii confidenţialităţii,
integrităţii sau disponibilităţii resurselor.
4) să determine dacă riscurile sunt acceptabile sau necesită tratarea lor, folosind pentru
aceasta criteriile de acceptare a riscului stabilite la 4.2.1c)2));
3) evitarea riscurilor; şi
4) transferarea riscurilor asociate afacerilor către alte părţi, de exemplu asigurători, furnizori.
Trebuie selectate obiectivele de control şi măsurile corespunzătoare din anexa A pentru a acoperi
cerinţele identificate.
Obiectivele de control şi măsurile listate în anexa A nu sunt exhaustive, putând fi, de asemenea,
selectate obiective de control suplimentare şi măsuri suplimentare.
NOTĂ - Anexa A conţine o listă cuprinzătoare a obiectivelor de control şi măsurilor care au fost identificate ca
relevante în organizaţii. Utilizatorii acestui standard internaţional trebuie să ţină seama de anexa A ca punct de
pornire pentru selectarea măsurilor de securitate pentru a se asigura că nici o opţiune importantă de control nu
este trecută cu vederea.
Organizaţia trebuie:
b) să implementeze planul de tratare a riscului pentru a obţine obiectivele de control identificate care
includ considerarea finanţării şi alocarea rolurilor şi responsabilităţilor.
d) să definească modul de măsurare a eficienţei pentru măsurile selectate sau pentru grupurile de
măsuri şi să specifice cum urmează să fie folosite aceste măsuri pentru a evalua eficienţa
măsurilor şi pentru a produce rezultate comparabile şi reproductibile (a se vedea 4.2.3c)).
Organizaţia trebuie:
5) a determina dacă acţiunile luate pentru a rezolva o breşă de securitate au fost eficiente.
1) organizaţia;
2) tehnologia;
4) ameninţările identificate;
NOTĂ - Auditurile interne, numite câteodată audituri de primă parte, sunt conduse de sau în numele
organizaţiei pentru scopuri interne.
f) să iniţieze revizuiri manageriale regulate ale SMSI pentru a se asigura că domeniul de aplicabilitate
rămâne adecvat şi sunt identificate îmbunătăţirile procesului SMSI (a se vedea 7.1).
SR ISO/CEI 27001:2006
h) să înregistreze acţiunile şi evenimentele care pot avea un impact asupra eficienţei sau
performanţelor SMSI (a se vedea 4.3.3).
1.2.1 Generalităţi
Documentaţia trebuie să includă înregistrări ale deciziilor de management, trebuie să asigure faptul că
acţiunile pot fi urmărite până la deciziile şi politicile managementului şi trebuie să garanteze că
rezultatele înregistrate sunt reproductibile.
Este important să poată demonstra relaţia dintre măsurile de securitate selectate, rezultatele
procesului de determinare şi tratare a riscului şi ulterior cu politica şi obiectivele SMSI.
g) proceduri documentate de care are nevoie organizaţia pentru a asigura planificarea eficientă,
funcţionarea şi controlul proceselor de securitate a informaţiei şi pentru a descrie cum se măsoară
eficienţa măsurilor de securitate (a se vedea 4.2.3c));
i) Declaraţia de Aplicabilitate.
NOTA 1 - Atunci când apare termenul "procedură documentată" în cadrul acestui standard internaţional,
aceasta înseamnă că procedura este stabilită, documentată, implementată şi menţinută.
NOTA 2 - Completitudinea documentaţiei SMSI poate fi diferită de la o organizaţie la alta datorită:
mărimii organizaţiei şi tipurilor de activitate pe care le desfăşoară; şi
NOTA 3 - Documentele şi înregistrările pot fi în orice format sau pe orice tip de suport.
Documentele cerute de SMSI trebuie să fie protejate şi controlate. Trebuie stabilită o procedură
documentată pentru a defini acţiunile conducerii pentru:
d) a asigura faptul ca versiunile relevante ale documentelor aplicabile sunt disponibile la punctele de
utilizare;
f) a asigura faptul ca documentele sunt disponibile celor care au nevoie de ele şi sunt transferate,
depozitate şi distruse în conformitate cu procedurile aplicabile nivelului lor de clasificare;
j) a aplica mijloace de identificare adecvată a acestora dacă acestea sunt păstrate pentru orice alt
scop.
înregistrările trebuie să fie stabilite şi menţinute pentru a asigura dovada conformităţii cu cerinţele şi
operarea efectiva a SMSI. Acestea trebuie protejate şi controlate. SMSI trebuie să ţină cont de orice
cerinţe legale şi de reglementare relevante şi obligaţii contractuale. înregistrările trebuie să rămână
inteligibile, identificabile imediat şi recuperabile. Controalele necesare pentru identificare, depozitare,
protecţie, recuperare, perioadă de reţinere şi distrugere a înregistrărilor trebuie documentate şi
implementate.
înregistrările privind performanta procesului trebuie păstrate aşa cum este subliniat în paragraful 4.2
împreună cu toate incidentele de securitate semnificative apărute în cadrul SMSI.
EXEMPLU - Exemple de înregistrări sunt registrul de intrare a vizitatorilor, rapoartele de audit şi formularele de
autorizaţie de acces completate.
5.Conducerea
h) sprijinirea altor roluri de management relevante pentru a demonstra conducerii lor, deoarece
se aplică în domeniile lor de responsabilitate.
5.2 Politica
b) include obiective de securitate a informațiilor (a se vedea 6.2) sau oferă cadrul pentru
stabilirea obiectivelor de securitate a informațiilor;
6 Planificarea
6.1.1 General
a) asigură sistemul informatic de management de securitate poate atinge rezultatul preconizat (e);
e) cum să
1) evaluează consecințele potențiale care ar rezulta în cazul în care riscurile identificate la 6.1.2
c) 1) au fost
să se materializeze;
b) să determine toate controalele care sunt necesare pentru a pune în aplicare opțiunea (e)
tratamentul riscului de securitate a informațiilor alese;
Organizațiile NOTĂ pot proiecta controale în funcție de necesități, sau de a le identifica din
orice sursă.
c) să compare controalele stabilite în 6.1.3 b) de mai sus, cu cele din anexa A și verifica dacă nu
controalele necesare au fost omise;
NOTA 1 Anexa A conține o listă cuprinzătoare de obiective și controale de control. Utilizatorii
acestui standard internațional sunt direcționate către anexa A pentru a se asigura că nu
controalele necesare sunt trecute cu vederea.
Obiectivele NOTA 2 Controlul sunt implicit incluse în controalele alese. Obiectivele de control
și
proces.
7 Suport
7.1 Resurse
7.2 Competență
Întreprinderea:
a) stabilește competența necesară persoanei (persoanelor) face lucrarea sub controlul său, care
afectează performanța de securitate a informațiilor;
b) să se asigure că aceste persoane sunt competente, pe baza unei educații ppropriate, formare
sau experiență;
c) dacă este cazul, să ia măsuri pentru a dobândi competența necesară, și să evalueze eficiența
acțiunilor întreprinse; și
NOTĂ Acțiuni aplicabile pot include, de exemplu: furnizarea de formare la, îndrumarea sau
atribuirea re a angajaților actuali; sau închirierea sau contractarea de persoane competente.
7.3 Conștientizarea
Persoanele care efectuează muncă sub controlul organizației trebuie să fie conștienți de:
a) politica de securitate a informațiilor;
7.4 Comunicare
Întreprinderea stabilește necesitatea unor comunicări interne și externe relevante pentru sistemul
de management al securității informației, inclusiv:
a) pe ce să comunice;
b) când să comunice;
c) cu care să comunice;
7.5.1 generale
3) competența persoanelor.
b) formatul (de exemplu limba, versiunea software, grafică) și mass-media (de exemplu, hârtie,
electronice); și
a) este disponibil și adecvat pentru utilizare, în cazul în care și atunci când este necesar; și
8 Funcționare
Organizația trebuie să păstreze informațiile documentate în măsura în care este necesar pentru a
avea încredere că procesele au fost efectuate conform planului.
Organizația trebuie să controleze modificările planificate și să revizuiască consecințele
modificărilor neintenționate, luarea de măsuri pentru a atenua orice efecte adverse, după cum
este necesar.
9.Evaluarea performanțelor
b) metodele de monitorizare, măsurare, analiză și evaluare, după caz, pentru a asigura rezultate
valide;
a) se conformează
1) cerințele proprii ale organizației pentru sistemul său de management al securității informației;
și
b) schimbări în probleme externe și interne, care sunt relevante pentru sistemul de management
al securității informației;
3) Rezultatele auditului; și
10 Îmbunătățirea
1) revizuirea neconformitatilor;
e) să facă modificări ale sistemului de management al securității informațiilor, dacă este necesar.
Acțiunile corective trebuie să fie adecvate efectelor neconformitatilor întâlnite. Organizația
trebuie să păstreze informațiile documentate ca dovadă:
anexa A
(normativ)
Obiectivele de control și controalele enumerate în tabelul A.1 sunt derivate direct din și aliniate
cu cele
enumerate în ISO / IEC 27002: 2013 [1], clauzele 5 până la 18 și urmează să fie utilizate în
context, cu clauza 6.1.3.
Control
A.6.2.1 Politica Dispozitiv O măsuri de securitate de sprijin al politicii și se adoptă pentru
mobil a gestiona riscurile introduse prin utilizarea dispozitivelor
mobile.
Control
A.6.2.2 telemunca O măsuri de securitate de sprijin al politicii și trebuie să fie puse în
aplicare pentru a proteja informațiile accesate, prelucrate sau
depozitate în locuri teleworking.
A.7 securitatea resurselor umane
A.7.1 Înainte de a ocupării forței de muncă
Obiectiv: Pentru a se asigura că angajații și contractorii să înțeleagă responsabilită țile lor și sunt
corespunztoare pentru rolurile pentru care au fost luate în considerare.
Control
controale de verificare de fond cu privire la toți candidații pentru
A.7.1.1 screening-ul ocuparea forței de muncă se efectuează în conformitate cu legile,
reglementările și etică și trebuie să fie proporționale cu cerințele
de business, clasificarea informațiilor care urmează să fie accesate
și riscurile per- recepționat.
Control
Termeni și condiții Acordurile contractuale cu angajații și contractorii trebuie să
A.7.1.2
de încadrare în precizeze și responsabilitățile organizației lor pentru securitatea
muncă informațiilor.
A.7.2 în timpul ocupării forței de muncă
Obiectiv: Pentru a se asigura că angajații și contractorii sunt conștienți și să îndeplinească securitatea
informațiilor
responsabilită ți. Control
responsabilităţ
A.7.2.1 ile conducerii Gestionare solicită toți angajații și contractorii să aplice
securitatea informațiilor, în conformitate cu politicile și
procedurile stabilite ale organizației.
Control
conștientizare de Toți angajații organizației și, în cazul în care tors relevante,
A.7.2.2 securitate a beneficiază de educație contractanții corespunzătoare de
informațiilor, sensibilizare și de formare și actualizări periodice ale politicilor și
educația și procedurilor organizației, relevante pentru funcția lor de locuri
formarea de muncă.
Control
Trebuie să existe un proces disciplinar formal și comunicate
A.7.2.3 Procesul disciplinar
în loc să ia măsuri împotriva angajaților care au comis o
încălcare a securității informațiilor.
A.7.3 Terminarea și schimbarea locului de muncă
Obiectiv: Pentru a proteja interesele organizației, ca parte a procesului de schimbare sau de
încheiere de muncă .
Încetarea sau Control
schimbarea
A.7.3.1 responsabilităților de responsabilitățile de securitate a informațiilor și a taxelor, care
muncă rămân valabile după încetarea sau schimbarea locului de muncă
sunt definitive, comunicate angajatului sau contractant și puse în
A.8 Gestionarea activelor aplicare.
Sistemul de Control
gestionare a
A.9.4.3 Sistemele de gestionare a parolei trebuie să fie interactive și
parolei
asigură parole de calitate.
Control
Utilizarea Utilizarea programelor utilitare care ar putea fi capabile să
A.9.4.4
programelor utilitare imperative de sistem și de aplicare controalele sunt
privilegiate restricționate și strict controlat.
Controlul accesului la Control
A.9.4.5 codul sursă al
programului Accesul la codul sursă al programului este restricționat.
A.10 Criptografie
A.10.1 controale criptografic
Obiectiv: Pentru a asigura o utilizare corectă și eficientă a criptografiei pentru a proteja
confidențialitatea, autenticitatea și / sau integritatea informațiilor.
Control
Politica privind
A.10.1. O politică privind utilizarea controalelor criptografice pentru
utilizarea
1 controalelor protecția informațiilor sunt elaborate și puse în aplicare.
Control
A.10.1. Gestionarea cheilor O politică privind utilizarea, protecția și durata de viață a cheilor
2 criptografice sunt elaborate și puse în aplicare prin intermediul
A.11 întregului lor ciclu de viață.
Securitatea fizică și de mediu
A.11.1 zonele securizate
Obiectiv: Pentru a preveni accesul neautorizat fizic, deteriorarea și interferența la instalațiile de
prelucrare a informațiilor și de informare ale organizației.
Control
Securitate fizică perimetre de securitate sunt definite și utilizate pentru a proteja
A.11.1.
Perimetru zonele care conțin facilități, fie sensibile sau critice de informații și
1
de prelucrare a informațiilor.
Control
A.11.1. Controale de intrare zonele securizate sunt protejate prin controale de intrare
2 fizice corespunzătoare pentru a se asigura că numai personalul
autorizat
Control sunt permise de acces.
Securizarea
A.11.1. Securitatea fizică pentru birouri, camere și facilități sunt
birouri, camere
3 și facilită ți proiectate și aplicate.
Protejarea Control
A.11.1. împotriva Protecție fizică împotriva dezastrelor naturale, atac rău
4 amenință rilor intenționat sau accidente trebuie să fie proiectate și aplicate.
externe și de
Control
Munca în zone
A.11.1. Proceduri pentru lucrul în zone sigure trebuie să fie
sigure
5 proiectate și aplicate.
Control
zone de livrare și Punctele de acces, cum ar fi livrarea și de încărcare zone și alte
A.11.1. puncte în cazul în care persoane neautorizate ar putea intra în
de încă rcare
6 incinta trebuie să fie controlate și, dacă este posibil, izolate de la
instalațiile de prelucrare a informațiilor pentru a evita accesul
neautorizat.
A.11.2 echipament
Obiectiv: Pentru a preveni pierderea, deteriorarea, furtul sau compromiterea bunurilor și
întreruperea operațiunilor organizației.
Control
Echipamente lucră ri Echipamentele trebuie să fie amplasate și protejate pentru a
A.11.2.
de montaj și reduce riscurile generate de amenințările de mediu și de pericole
1
Protecţie și oportunități de acces neautorizat.
Control
A.11.2. sprijinirea utilită ților Echipamentele trebuie să fie protejate împotriva căderilor de
2 tensiune și a altor întreruperi cauzate de defecțiuni în susținerea
utilităților.
Control
A.11.2. securitate cablare Putere și de telecomunicații de cablare care transportă date sau
3 sprijiná serviciilor de informații trebuie să fie protejate de
interceptare, interferențe sau pagube.
Control
Intretinere de
A.11.2. Echipamentele trebuie să fie menținute în mod corect pentru a
echipamente
4 asigura disponibilitatea continuă și integritatea.
Control
A.11.2. Îndepă rtarea Echipamente, informații sau software nu sunt luate în afara
5 activelor amplasamentului fără o autorizație prealabilă.
Securitatea Control
A.11.2. echipamentelor și De securitate se aplică activelor în afara amplasamentului, luând
6 a bunurilor în afara în considerare diferitele riscuri de a lucra în afara sediului
spațiilor organizației.
comerciale
eliminare Control
securizată sau
A.11.2. reutilizarea Toate elementele de echipamente care conțin suporturi de
7 echipamentelor stocare sunt verificate pentru a se asigura că toate datele
sensibile și software licențiat au fost eliminate sau în siguranță,
suprascrise
Control înainte de eliminare sau de re-utilizare.
echipamente
A.11.2. Utilizatorii ce se asigură că echipamentul nesupravegheat are
utilizator
8 nesupraveghe adecvat
protecţie.
Control
Politica de ecran O politică clară de birou pentru documente și suporturi de stocare
A.11.2.
clar si de birou detașabile și
9 clar se adoptă o politică de ecran clar pentru instalațiile de
prelucrare a informațiilor.
A.12 securitate operațiuni
A.12.1 Proceduri și responsabilități operaționale
Obiectiv: Pentru a asigura funcționarea corectă și sigure ale instalațiilor de prelucrare a informațiilor.
Control
operare documentata
A.12.1. Procedurile de funcționare trebuie să fie documentate și puse la
procedure
1 dispoziția tuturor utilizatorilor care au nevoie de ele.
Control
A.12.1. Managementul Modificări ale organizării, proceselor de afaceri, instalații de
2 schimbă rii procesare a informațiilor și sistemele care afectează securitatea
informațiilor sunt controlate.
Control
A.12.1. capacitate de Utilizarea resurselor ar trebui să fie monitorizate, reglate și
3 management previziunile făcute de cerințe de capacitate viitoare pentru a
asigura performanțele necesare sistemului.
Separarea de Control
dezvoltare, testare Dezvoltare, testare și medii operaționale trebuie să fie separate
A.12.1.
și medii pentru a reduce riscurile de acces sau modificări neautorizate la
4 operaționale mediul operațional.
A.12.2 Protecția împotriva malware-ului
Obiectiv: Pentru a se asigura că instalațiile de informații și de informații de procesare sunt
protejate impotriva malware-ului.
Control
Controale Detectare, prevenire și recuperare de control pentru a proteja
A.12.2.
împotriva împotriva malware-ului trebuie să fie puse în aplicare,
1 malware-ului combinată cu conștientizarea adecvată utilizator.
A.12.3 Backup
Obiectiv: Pentru a vă proteja împotriva pierderii datelor.
Control
A.12.3. informaţii de backup copii de rezervă ale informațiilor, software și de sistem de imagini
1 trebuie să fie prelevate și testate în mod regulat, în conformitate cu
o politică de rezervă a fost de acord.
A.12.4 E x p l o a t a r e fo r e s t i e r ă ș i m o n i t o r i z a r e a
Obiectiv: Pentru a înregistra evenimente și de a genera probe.
Control
logare eveniment
A.12.4. jurnalele de evenimente de înregistrare activități ale
1 utilizatorilor, excepții, greșeli și evenimentele de securitate de
informații ar trebui să fie produse, păstrate și revizuite în mod
regulat.
Control
Protecția
A.12.4. Conectându facilități și informații de jurnal sunt protejate
informațiilor jurnal
2 împotriva falsificării și a accesului neautorizat.
Control
Busteni de
A.12.4. autentificat administrator de sistem și activitățile
administrator si
3 operator de operatorului de sistem trebuie să fie și jurnalele protejate și
revizuite
Control în mod regulat.
A.12.4. ceas de sincronizare Ceasurile tuturor sistemelor de prelucrare a informațiilor
4 relevante din cadrul unei organizații sau un domeniu de securitate
trebuie să fie sincronizate cu o singură sursă de timp de referință.
A.12.5 Controlul software-ului operational
Obiectiv: Pentru a asigura integritatea sistemelor de operare.
Instalarea de Control
A.12.5. software pe Procedurile trebuie să fie puse în aplicare pentru a controla
1 sisteme de instalarea software-ului pe sistemele de operare.
operare
A.12.6 tehnică de gestionare a vulnerabilității
Obiectiv: Pentru a preveni exploatarea vulnerabilită ților tehnice.
Control
Gestionarea Informații despre vulnerabilități tehnice ale sistemelor informatice
A.12.6. utilizate trebuie să fie obținute în timp util, expunerea organizației
vulnerabilităților
1 tehnice la astfel de vulnerabilități evaluate și mă- suri adecvate luate
pentru a aborda riscul asociat.
Control
Restricții privind
A.12.6. Normele care reglementează instalarea software-ului de
instalarea software-
2 către utilizatori sunt stabilite și puse în aplicare.
ului
A.12.7 Sisteme informatice considerente de audit
Obiectiv: Pentru a reduce la minimum impactul activită ților de audit asupra sistemelor de operare
Control
Sisteme Cerințele de audit și activitățile care implică verificarea
A.12.7.
informatice de sistemelor operaționale trebuie să fie atent planificate și au
1 audit Controale convenit să reducă la minimum perturbarea proceselor de
A.13 afaceri.
securitatea comunicațiilor
A.13.1 managementul securității rețelei
Obiectiv: Pentru a asigura protecția informațiilor în rețele și care sprijină instalațiile de
prelucrare a informațiilor.
Control
A.13.1. controale de rețea Rețelele sunt gestionate și controlate pentru a proteja informațiile
1 în sistemele și aplicații.
Control
Securitatea rețelei Mecanismele de securitate, nivelul de servicii și de gestionare a
A.13.1. cerințelor tuturor serviciilor de rețea trebuie să fie identificate și
Servicii
2 incluse în acordurile de servicii de rețea, indiferent dacă aceste
servicii sunt oferite in-house sau externalizate.
Control
Segregarea în
A.13.1. Grupuri de servicii de informare, utilizatorii și sistemele de
rețele
3 informații sunt separate pe rețele.
A.13.2 prin transfer de informații
Obiectiv: Pentru a menține securitatea informațiilor transferate în cadrul unei organizații și cu
orice entitate externă .
Control
politici și
A.13.2. proceduri de Formale politici de transfer, procedurile și controalele trebuie să
1 transfer de fie în loc pentru a proteja transferul de informații prin utilizarea
informații tuturor tipurilor de mijloace de comunicare.
Control
Acordurile privind
A.13.2. Acordurile abordează transferul securizat de informații de afaceri
transferul de
2 între organizație și părțile externe.
informații
Control
A.13.2. mesagerie Informații implicate în mesagerie electronică trebuie să fie
3 electronică protejate în mod corespunzător.
Control
acorduri de sunt identificate cerințe pentru acordurile de confidențialitate
A.13.2.
confidențialitate sau sau non-divulgare care să reflecte nevoile organizației pentru
4 de nedivulgare protecția informațiilor, revizuite în mod regulat și documentat.
A.14 achiziție de sistem, dezvoltarea și întreținerea
A.14.1 Cerințe de securitate ale sistemelor informatice de întreținere
Obiectiv: Pentru a se asigura că securitatea informațiilor este o parte integrantă a sistemelor de
informație din întreaga întregului ciclu de viață. Aceasta include, de asemenea, cerințele privind
sistemele informatice care furnizează servicii prin intermediul rețelelor publice.
Control
Analiza și
A.14.1. specificarea Cerințele privind securitatea informațiilor sunt incluse în cerințele
1 cerințelor de pentru noile sisteme de informații sau îmbunătățirile aduse
securitate a sistemelor informatice existente.
Control
Servicii de
A.14.1. securizare de Informații implicate în serviciile de aplicații care trec prin rețele
2 aplicații în publice trebuie să fie protejate de activități frauduloase, dispute
rețelele publice contractuale a căror divulgare neautorizată și modificare.
Control
Protejarea Informații implicate în tranzacții de servicii de aplicare trebuie să
A.14.1. fie protejate pentru a preveni transmiterea incompletă, mis-
tranzacțiilor de
3 servicii de aplicații rutare, unau- modificarea mesajului izat, dezvăluirii neautorizate,
unauthor- duplicarea mesajului zată sau reluarea.
A.14.2 Securitatea în procesele de dezvoltare și support
Obiectiv: Pentru a se asigura că securitatea informațiilor este proiectat și implementat în cadrul
ciclului de dezvoltare a sistemelor informatice.
Control
dezvoltarea
A.14.2. Reguli pentru dezvoltarea de software și sisteme se stabilesc și se
securizată
1 aplică la evoluțiile din cadrul organizației.
politică
Controlul schimbare de Control
sistem
A.14.2. proceduri Modificările aduse sistemelor în cadrul ciclului de dezvoltare
2 trebuie să fie controlată prin utilizarea unor proceduri formale de
control
Control al schimbării.
analiză tehnică a
aplicațiilor după Atunci când platformele de operare sunt modificate, aplicațiile
A.14.2.
modifică ri critice de business sunt revizuite și testate pentru a se asigura că
3 platforma de nu există nici un impact negativ asupra operațiunilor sau a
operare securității organizaționale.
Restricții cu Control
A.14.2. privire la Modificările aduse pachetelor software sunt descurajați, limitate la
4 modifică rile modificările necesare și toate modificările trebuie să fie strict
aduse pachetelor controlate.
software
Control
Principiile sigure se stabilesc principii pentru sisteme sigure de inginerie,
A.14.2.
de inginerie documentate, întreținute și aplicate oricăror eforturi de
5 sistem implementare a sistemului de informații.
Control
mediu de dezvoltare Organizațiile trebuie să stabilească și să protejeze în mod
A.14.2.
securizat corespunzător mediile de dezvoltare sigure pentru
6
eforturile de dezvoltare a sistemului și de integrare, care
acoperă
Control întregul ciclu de viață de dezvoltare a sistemului.
dezvoltare externalizată
A.14.2. Întreprinderea supraveghează și monitorizează
7 activitatea de dezvoltare a sistemului externalizat.
Control
Testarea de securitate a
A.14.2. Testarea funcționalității de securitate se efectuează în
sistemului
8 timpul dezvoltării.
Control
sistemul de acceptare
A.14.2. programe de testare de acceptare și criteriile aferente
Testarea
9 sunt stabilite pentru noile sisteme de informații, upgrade-
A.14.3 date de test uri și versiuni noi.
Control
Studiu de la
A.16.1. incidente de Cunoștințele dobândite de la analiza și rezolvarea incidentelor de
6 securitate a securitate a informațiilor sunt utilizate pentru a reduce
informațiilor probabilitatea sau impactul incidentelor viitoare.
Control
A.16.1. Colectarea de probe Organizația trebuie să definească și să aplice proceduri pentru
7 identificarea, selectarea, achiziționarea și păstrarea
informațiilor, care pot servi drept probe.
A.17 aspectele legate de securitatea informațiilor de management al continuității afacerii
A.17.1 continuitatea securității informațiilor
Obiectiv: continuitatea Securitatea informațiilor sunt integrate în sistemele de management de
continuitate a activită ții organizației.
Control
Planificarea Întreprinderea stabilește cerințele sale pentru securitatea
A.17.1.1
continuită ții informațiilor și continuitatea gestionării securității informațiilor în
securită ții situații nefavorabile, de ex în timpul unei crize sau a unui dezastru.
informațiilor
Control
Punerea în aplicare Organizația stabilește, pune în aplicare și a proceselor, mențineti
A.17.1. a continuității proceduri și controale pentru a asigura nivelul necesar de
2 securității continuitate pentru securitatea informațiilor în timpul unei situație
informațiilor advers.
Control
Verificați dacă, Întreprinderea verifică informațiile controalele de continuitate
A.17.1. analiza și evalua de securitate stabilite și puse în aplicare la intervale regulate,
3 continuitatea pentru a se asigura că acestea sunt valabile și eficiente în
securității timpul situațiilor nefavorabile.
informațiilor
A.17.2 concedieri
Obiectiv: Asigurarea disponibilită ții de facilită ți de prelucrare a informațiilor.
Disponibilitatea Control
A.17.2. de instalații de instalațiile de prelucrare a informațiilor trebuie să fie puse în
1 prelucrare a aplicare cu redundanță suficientă pentru a îndeplini cerințele de
informațiilor disponibilitate.
A.18 Conformitate
A.18.1 Conformitatea cu cerințele legale și contractuale
Obiectiv: Pentru a evita încă lcarea obligațiilor legale, statutare, de reglementare sau contractuale
legate de securitatea informațiilor și a orică ror cerințe de securitate.
Control
Identificarea
legislației aplicabile Toate statutară legislative relevante,, cerințe contractuale de
A.18.1. reglementare și abordarea organizației de a îndeplini aceste
și a cerințelor
1 contractuale cerințe trebuie să fie identificat în mod explicit, documentate și
actualizate pentru fiecare sistem de informare și organizare.
Control
Proprietate Se pun în aplicare proceduri adecvate pentru a asigura
A.18.1. respectarea cerințelor legislative, de reglementare și contractuale
intelectuală
2 referitoare la drepturile de proprietate intelectuală și utilizarea
Drepturile
produselor de soft brevetate.
Control
A.18.1. Protecția Înregistrările trebuie să fie protejate împotriva pierderii,
3 înregistră rilor distrugerii, falsificării, accesului neautorizat și eliberarea
neautorizată, în conformitate cu cerințele de legislație;, de
reglementare,
Control contractuale și de afaceri.
Protecția vieții
A.18.1. private și informații Protecția vieții private și a informațiilor personale de identificare
4 de identificare sunt asigurate în conformitate cu cerințele din legislația și
personală reglementările după caz relevante.
Controlată
Reglementarea
A.18.1. Controalele criptografice se utilizează în conformitate cu toate
controalelor
5 criptografice acordurile relevante, legislația și regulamentele.
A.18.2 recenzii de securitate a informațiilor
Obiectiv: Pentru a se asigura că securitatea informațiilor este implementată și funcționează în
conformitate cu politicile și procedurile organizaționale.
Control
Abordarea organizației de a gestiona securitatea informațiilor și
revizuire punerea în aplicare a acestuia (adică a obiectivelor de control,
A.18.2.
independentă a controale, politici, procese și proceduri de securitate a informațiilor
1
securitatea pro) sunt revizuite în mod independent, la intervale de timp
informațiilor planificate sau când au loc schimbări semnificative.
Control
Conformitatea cu Managerii revizuiesc cu regularitate conformitatea prelucrării și a
A.18.2. politicile și procedurilor de informare în zona lor de responsabilitate cu
2 standardele de politicile de securitate corespunzătoare, standardele și orice alte
Securitate cerințe de securitate.
Control
conformitatea Sistemele informatice sunt revizuite în mod regulat pentru
A.18.2.
tehnică conformitatea cu politicile de securitate a informațiilor
3
revizuire organizației și standardele în.