1 Domeniul de aplicare

Prezentul standard internațional specifică cerințele pentru stabilirea, implementarea, menținerea

și îmbunătățirea în mod continuu un sistem de management al securității informațiilor în cadrul
organizației. Prezentul standard internațional include, de asemenea, cerințele pentru evaluarea și
tratamentul riscurilor de securitate a informațiilor adaptate la nevoile organizației. Cerințele
stabilite în prezentul standard internațional sunt generice și sunt destinate să fie aplicabile tuturor
organizațiilor, indiferent de tipul, marimea sau natura. Excluzând oricare dintre cerințele
specificate în clauzele 4 până la 10 nu este acceptabil atunci când o organizație susține
conformitatea cu prezentul standard internațional.

Orice excludere a masurilor de securitate care sunt necesare pentru a satisface criteriile de
acceptare a riscului trebuie sa fie justificata si trebuie furnizate dovezi ca riscurile associate
au fost acceptate de catre persoanele responsabile. Atunci când oricare dintre măsuri este
exclusă, pretenţiile de conformitate cu acest standard internaţional nu sunt acceptabile
decât dacă asemenea excluderi nu afectează capacitatea organizaţiei si/sau
responsabilitatea de a furniza o securitate a informaţiei care să îndeplinească cerinţele
de securitate determinate de evaluarea riscului şi cerinţelor legale sau a reglementarilor
aplicabile.

2 Referințe normative

Următoarele documente, în totalitate sau parțial, sunt referite în acest normativ document, și
sunt indispensabile pentru aplicarea acesteia. Pentru referintele datate, numai ediția citată se
aplică. Pentru referintele nedatate, se aplică ultima ediție a documentului de referință (inclusiv
orice amendamente).

ISO / IEC 27000, Tehnologia informației - Tehnici de securitate - Sisteme de management al

securitatii informatiei - Prezentare generală și vocabulary

3.Termeni şi definiţii

Pentru aplicarea acestui document, se aplică următorii termeni şi definiţii.

3.1
Resurse orice prezintă valoare pentru organizaţie [ISO/IEC 13335-1:2004]
3.2
Disponibilitate proprietatea de a fi accesibil şi utilizabil la cerere de către o entitate
autorizată [ISO/IEC 13335-1:2004]

3.3
Confidenţialitate proprietatea ca informaţia să nu fie făcută disponibilă sau
divulgată persoanelor, entităţilor sau proceselor neautorizate

[ISO/IEC 13335-1:2004]

3.4
Securitatea informaţiei păstrarea confidenţialităţii, integrităţii şi a disponibilităţii
informaţiei; în plus, alte proprietăţi precum autenticitatea, responsabilitatea, non-
repudierea şi fiabilitatea pot fi de asemenea implicate

[ISO/IEC 17799:2005]

3.5
Eveniment de securitate a informaţiilor situaţie identificată în legătură cu un sistem,
un serviciu sau o reţea care indică o posibilă încălcare a politicii de securitate a
informaţiilor, un eşec al măsurilor de protecţie sau o situaţie ignorată anterior, dar
relevantă din punct de vedere al securităţii.

[ISO/IEC TR 18044:2004]

3.6
incident privind securitatea informaţiei

Un eveniment sau o serie de evenimente de securitate a informaţiei care au o

probabilitate semnificativa de a compromite activităţile organizaţiei şi de a aduce
ameninţări la securitatea informaţiei.

[ISO/IEC TR 18044:2004]
 3.7
sistem de management al securităţii
informaţiei SMSI

partea din întreg sistemul de management, bazată pe o abordare a riscului afacerii,

folosită pentru a stabili, implementa, funcţiona, monitoriza, revizui, menţine şi
îmbunătăţi securitatea informaţiei

NOTĂ - Sistemul de management include structuri organizaţionale,

politici, activităţi de planificare, responsabilităţi, practici, proceduri, procese şi
resurse.

3.8
Integritate proprietatea de a păstra acurateţea şi deplinătatea resurselor [ISO/IEC
13335-1:2004]

3.9
Risc residual riscul care rămâne după tratarea riscului [ISO/IEC Guide 73:2002]

3.10
Acceptarea riscului decizie de acceptare a unui risc [ISO/IEC Guide 73:2002]

3.11
Analiza riscului utilizarea sistematică a informaţiei pentru a identifica sursele şi pentru
a estima riscul [ISO/IEC Guide 73:2002]

3.12
Determinarea riscului procesul global de analiză şi evaluare a riscului [ISO/IEC Guide
73:2002]

3.13
Evaluarea riscului proces de comparare a riscului estimat cu criteriile de risc
agreate în vederea stabilirii importanţei riscului

[ISO/IEC Guide 73:2002]

3.14
managementul riscului activităţi coordonate pentru îndrumarea şi controlul unei
organizaţii luând în considerare riscurile [ISO/IEC Guide 73:2002]
 3.16
Declaraţie de aplicabilitate declaraţie documentată care descrie obiectivele de control
şi măsurile de securitate care sunt relevante şi aplicabile SMSI al organizaţiei.

NOTĂ - Obiectivele de control şi măsurile sunt bazate pe rezultatele şi concluziile analizei de

risc şi pe procesele de tratare a riscului, cerinţe legale sau de reglementare, obligaţii
contractuale şi cerinţele afacerii organizaţiei pentru securitatea informaţiei.

4.Contextul organizatiei

4.1 Înțelegerea organizării și contextului său

Organizația trebuie să determine aspectele externe și interne care sunt relevante pentru scopul său și
care afectează capacitatea sa de a atinge rezultatul urmărit (e) a sistemului său de gestionare a
informațiilor de securitate.

NOTĂ Determinarea acestor aspecte se referă la stabilirea contextului extern și intern al

organizației luate în considerare în clauza 5.3 din ISO 31000: 2009 [5].

4.2 Înțelegerea nevoilor și așteptărilor părților interesate

Organizația trebuie să determine:

a) părțile interesate, care sunt relevante pentru sistemul de management al securității informației; și

b) cerințele acestor părți interesate relevante pentru securitatea informațiilor.

NOTĂ Cerințele părților interesate pot include cerințe legale și de reglementare și obligațiile
contractuale.

4.3 Determinarea domeniului de aplicare a sistemului de gestionare a informațiilor de securitate

Întreprinderea stabilește limitele și aplicabilitatea sistemului de management al securității

informațiilor pentru a stabili domeniul de aplicare al acesteia.

La stabilirea domeniului de aplicare, organizația trebuie să ia în considerare:

a) aspectele externe și interne menționate la punctul 4.1;

b) cerințele menționate la punctul 4.2; și

c) interfețele și dependențe între activitățile desfășurate de organizația, iar cele care sunt efectuate
de către alte organizații.

Domeniul de aplicare este disponibil sub formă de informații documentate.

4.4 Informații.Sistemul de management de securitate

Organizația stabilește, pune în aplicare, menține și îmbunătăți continuu un sistem de management al

securității informațiilor, în conformitate cu cerințele prezentului standard internațional.

1.1 Stabilirea şi administrarea SMSI

1.1.1 Stabilirea SMSI

Organizaţia trebuie:

a) să definească domeniul de aplicare şi limitele SMSI în raport cu caracteristicile afacerii,

organizarea, locaţia, resurse şi tehnologii, incluzând detaliile şi justificarea pentru orice excludere din
acest domeniu (a se vedea 1.2)

b) să definească politica SMSI în raport cu caracteristicile afacerii, organizarea, locaţia, resursele şi

tehnologiile care:

1) să includă un cadru de lucru pentru stabilirea obiectivelor şi să stabilească o orientare generală

şi principii de acţiune cu privire la securitatea informaţiei;

2) să ia în considerare afacerea şi cerinţele legale sau de reglementare, precum şi obligaţiile

contractuale de securitate.

3) să se alinieze la contextul strategic al managementului riscului al organizaţiei în care va avea

loc stabilirea şi menţinerea SMSI.

4) să stabilească criteriile pe baza cărora riscul trebuie să fie evaluat (a se vedea 4.2.1c)); şi

5) să fie aprobată de către echipa de conducere

NOTĂ - în sensul acestui standard internaţional, politica SMSI este considerată ca fiind nivelul superior al
politicilor de securitate a informaţiei. Aceste politici pot fi menţionate într-un singur document.

c) să definească abordarea pe care o adoptă organizaţia pentru analiza riscului:

1) să identifice o metodologie de determinare a riscului care este potrivită pentru SMSI

precum şi cerinţele identificate de securitate a informaţiei, cerinţe legale şi reglementări
aplicabile
 2) să definească criteriile pentru acceptarea riscului şi să identifice nivelurile de risc
acceptabile (a se vedea 5.1f)).

Metodologia de evaluare a riscului aleasă trebuie să asigure că analizele de risc generează

rezultate comparabile şi care pot fi reproduse.

NOTĂ: Există metodologii diferite de determinare a riscului. Exemple ale metodologiilor de evaluare a
riscului sunt discutate în ISO/IEC TR 13335-3, Information technology — Guidelines for the management
of IT Security — Techniques for the management of IT Security

d) să identifice riscurile.

1) să identifice resursele din cadrul SMSI şi deţinătorii ' acestor resurse

2) să identifice ameninţările asupra resurselor

3) să identifice vulnerabilităţile care pot fi exploatate de aceste ameninţări

4) să identifice impactul pe care pierderea confidenţialităţii, integrităţii şi disponibilităţii îl poate

avea asupra resurselor.

e) să analizeze şi să evalueze riscul.

1) să evalueze impactul asupra afacerii organizaţiei care poate rezulta în urma unor
incidente de securitate, ţinându-se cont de consecinţele pierderii confidenţialităţii,
integrităţii sau disponibilităţii resurselor.

2) să evalueze probabilitatea realistă de apariţie a problemelor de securitate luând în

considerare ameninţările şi vulnerabilităţile predominante, impactul asociat asupra
resurselor şi măsurilor de securitate implementate în prezent.

3) să estimeze nivelurile de risc

4) să determine dacă riscurile sunt acceptabile sau necesită tratarea lor, folosind pentru
aceasta criteriile de acceptare a riscului stabilite la 4.2.1c)2));

f) să identifice şi să evalueze opţiunile pentru tratarea riscului.

Acţiunile posibile includ:

1) aplicarea unor măsuri de securitate corespunzătoare;

2) acceptarea conştientă şi obiectivă a riscurilor, cu condiţia ca acestea să satisfacă în mod

clar politicile şi criteriile de acceptare a riscurilor din cadrul organizaţiei (a se vedea
4.2.1c)2));

3) evitarea riscurilor; şi

4) transferarea riscurilor asociate afacerilor către alte părţi, de exemplu asigurători, furnizori.

g) să selecteze obiectivele de control şi măsurile pentru tratarea riscurilor.

l)
Termenul de "deţinător" desemnează un individ sau entitate care are responsabilitatea aprobată de
management pentru producţia, dezvoltarea, întreţinerea, utlizarea şi securitatea resurselor. Termenul de
"deţinător" nu atribuie acestuia dreptul de proprietate asupra resursei.
 SR ISO/CEI 27001:2006

Obiectivele de control şi măsurile trebuie selectate şi implementate pentru a îndeplini cerinţele

identificate în urma analizei de risc şi a procesului de tratare a riscului. Această selecţie trebuie să ţină
seama de criteriile de acceptare a riscului (a se vedea 4.2.1c)2)) precum şi de cerinţele legale, de
reglementare şi contractuale.

Trebuie selectate obiectivele de control şi măsurile corespunzătoare din anexa A pentru a acoperi
cerinţele identificate.

Obiectivele de control şi măsurile listate în anexa A nu sunt exhaustive, putând fi, de asemenea,
selectate obiective de control suplimentare şi măsuri suplimentare.

NOTĂ - Anexa A conţine o listă cuprinzătoare a obiectivelor de control şi măsurilor care au fost identificate ca
relevante în organizaţii. Utilizatorii acestui standard internaţional trebuie să ţină seama de anexa A ca punct de
pornire pentru selectarea măsurilor de securitate pentru a se asigura că nici o opţiune importantă de control nu
este trecută cu vederea.

h) să obţină aprobarea conducerii pentru riscurile reziduale propuse.

i) să obţină autorizarea conducerii pentru implementarea şi funcţionarea SMSI.

j) să pregătească o Declaraţie de Aplicabilitate.

O Declaraţie de Aplicabilitate trebuie elaborată astfel încât să includă următoarele:

1) obiectivele de control şi măsurile selectate în 4.2.1g) şi motivele pentru care au fost

selectate.

2) obiectivele de control şi măsurile implementate la momentul actual (a se vedea 4.2.1e)2));

3) excluderea oricăror obiective de control şi măsurile din Anexa A şi justificarea pentru

excluderea lor.

NOTĂ - Declaraţia de Aplicabilitate furnizează un sumar al deciziilor cu privire la tratarea riscului.

Justificarea excluderii furnizează o verificare încrucişată că nici o măsură de securitate nu a fost omisă
din neglijenţă.

1.1.2 Implementarea şi funcţionarea SMSI

Organizaţia trebuie:

a) să formuleze un plan de tratare a riscului în care să identifice acţiunile corespunzătoare ce trebuie

întreprinse de management, resursele, responsabilităţile şi priorităţile pentru administrarea
riscurilor de securitate a informaţiei (a se vedea 5).

b) să implementeze planul de tratare a riscului pentru a obţine obiectivele de control identificate care
includ considerarea finanţării şi alocarea rolurilor şi responsabilităţilor.

c) să implementeze măsurile menţionate în 4.2.1g) pentru a îndeplini obiectivele de control.

d) să definească modul de măsurare a eficienţei pentru măsurile selectate sau pentru grupurile de
măsuri şi să specifice cum urmează să fie folosite aceste măsuri pentru a evalua eficienţa
măsurilor şi pentru a produce rezultate comparabile şi reproductibile (a se vedea 4.2.3c)).

NOTĂ - Măsurarea eficientei măsurilor de securitate permite managerilor şi personalului să determine în

ce măsura sunt atinse obiectivele de control planificate prin măsurile implementate.

e) să implementeze programe de instruire şi de conştientizare (a se vedea 5.2.2).

f) să gestioneze funcţionarea SMSI.

g) să administreze resursele alocate SMSI (a se vedea 5.2).

h) să implementeze procedurile şi alte măsuri capabile să permită detectarea promptă a

evenimentelor de securitate şi răspunsul la incidente de securitate (a se vedea 4.2.3a)).

1.1.3 Monitorizarea şi revizuirea SMSI

Organizaţia trebuie:

a) să execute monitorizarea şi revizuirea procedurilor şi a altor măsuri de securitate pentru:

1) detectarea promptă a erorilor din rezultatele procesării;

2) identificarea promptă atât a tentativelor cât şi a încercărilor reuşite de penetrare a

sistemului de securitate.

3) a da posibilitatea conducerii de a determina dacă activităţile de securitate delegate

personalului sau implementate prin tehnologia informaţiei se desfăşoară conform
aşteptărilor;

4) a ajuta detectarea evenimentelor de securitate şi prin acestea să prevină incidentele de

securitate prin utilizarea indicatorilor; şi

5) a determina dacă acţiunile luate pentru a rezolva o breşă de securitate au fost eficiente.

b) să iniţieze evaluarea în mod periodic a eficientei SMSI (incluzând îndeplinirea politicii şi

obiectivelor SMSI şi evaluarea măsurilor de securitate) luând în considerare rezultatele auditurilor de
securitate, incidentelor, rezultatele măsurărilor de eficienţă, sugestii şi feedback din partea tuturor
părţilor interesate.

c) să măsoare eficacitatea măsurilor de securitate pentru a verifica dacă cerinţele de securitate

au fost îndeplinite.

d) să revizuiască analiza de risc la intervalele planificate şi să revizuiască riscurile reziduale şi

nivelul de risc considerat ca fiind acceptabil, luând în considerare schimbările privind:

1) organizaţia;

2) tehnologia;

3) obiectivele afacerii şi procesele;

4) ameninţările identificate;

5) eficienţa măsurilor implementate;

6) evenimente externe, precum schimbările legate de mediul legal şi reglementari, obligaţiile

contractuale modificate şi schimbările în climatul social.

e) să efectueze audituri interne ale SMSI la intervalele planificate(a se vedea 6).

NOTĂ - Auditurile interne, numite câteodată audituri de primă parte, sunt conduse de sau în numele
organizaţiei pentru scopuri interne.

f) să iniţieze revizuiri manageriale regulate ale SMSI pentru a se asigura că domeniul de aplicabilitate
rămâne adecvat şi sunt identificate îmbunătăţirile procesului SMSI (a se vedea 7.1).
 SR ISO/CEI 27001:2006

g) să actualizeze planurile de securitate pentru a lua în considerare rezultatele activităţilor de

monitorizare şi evaluare.

h) să înregistreze acţiunile şi evenimentele care pot avea un impact asupra eficienţei sau
performanţelor SMSI (a se vedea 4.3.3).

1.1.4 Menţinerea şi îmbunătăţirea SMSI

Organizaţia trebuie în mod regulat:

a) să implementeze îmbunătăţirile identificate ale SMSI.

b) să ia măsuri corective şi preventive corespunzătoare în conformitate cu 8.2 şi 8.3. Să aplice lecţiile

învăţate din experienţele de securitate ale altor organizaţii şi cele ale propriei organizaţii.

c) să comunice măsurile şi îmbunătăţirile tuturor părţilor interesate ţinând cont de detaliile

corespunzătoare circumstanţelor şi, în funcţie de relevanţă, să cadă de acord cu acestea asupra
modului în care trebuie să se procedeze.

d) să se asigure că îmbunătăţirile ating obiectivele planificate.

1.2 Cerinţe referitoare la documentaţie

1.2.1 Generalităţi

Documentaţia trebuie să includă înregistrări ale deciziilor de management, trebuie să asigure faptul că
acţiunile pot fi urmărite până la deciziile şi politicile managementului şi trebuie să garanteze că
rezultatele înregistrate sunt reproductibile.

Este important să poată demonstra relaţia dintre măsurile de securitate selectate, rezultatele
procesului de determinare şi tratare a riscului şi ulterior cu politica şi obiectivele SMSI.

Documentaţia SMSI trebuie să includă:

a) enunţuri documentate ale politicii SMSI (a se vedea 4.2.1b)) şi obiective;

b) domeniul de aplicabilitate al SMSI (a se vedea 4.2.1a));

c) proceduri şi măsuri de securitate pentru susţinerea SMSI;

d) o descriere a metodologiei de analiza a riscului (a se vedea 4.2.1c));

e) raportul de analiza a riscului (a se vedea 4.2.1c pana la 4.2.1g));

f) planul de tratare a riscului (a se vedea 4.2.2b));

g) proceduri documentate de care are nevoie organizaţia pentru a asigura planificarea eficientă,
funcţionarea şi controlul proceselor de securitate a informaţiei şi pentru a descrie cum se măsoară
eficienţa măsurilor de securitate (a se vedea 4.2.3c));

h) înregistrările cerute de standardul internaţional (a se vedea 4.3.3) şi

i) Declaraţia de Aplicabilitate.

NOTA 1 - Atunci când apare termenul "procedură documentată" în cadrul acestui standard internaţional,
aceasta înseamnă că procedura este stabilită, documentată, implementată şi menţinută.
 NOTA 2 - Completitudinea documentaţiei SMSI poate fi diferită de la o organizaţie la alta datorită:
mărimii organizaţiei şi tipurilor de activitate pe care le desfăşoară; şi

domeniului de aplicabilitate şi complexităţii cerinţelor de securitate şi ale sistemului care

este administrat.

NOTA 3 - Documentele şi înregistrările pot fi în orice format sau pe orice tip de suport.

1.2.2 Controlul documentelor

Documentele cerute de SMSI trebuie să fie protejate şi controlate. Trebuie stabilită o procedură
documentată pentru a defini acţiunile conducerii pentru:

a) a aproba documentele privind adecvarea înainte de a le emite;

b) a revizui şi actualiza documentele în funcţie de necesitate şi a reaproba documentele;

c) a asigura faptul că schimbările şi revizia curentă a documentelor sunt identificate;

d) a asigura faptul ca versiunile relevante ale documentelor aplicabile sunt disponibile la punctele de
utilizare;

e) a asigura faptul ca documentele rămân inteligibile şi pot fi identificate imediat;

f) a asigura faptul ca documentele sunt disponibile celor care au nevoie de ele şi sunt transferate,
depozitate şi distruse în conformitate cu procedurile aplicabile nivelului lor de clasificare;

g) a asigura faptul ca documentele de origine externă sunt identificate;

h) a asigura faptul ca distribuţia documentelor este controlată;

i) a preveni utilizarea neintenţionată a documentelor care nu mai sunt actuale; şi

j) a aplica mijloace de identificare adecvată a acestora dacă acestea sunt păstrate pentru orice alt
scop.

1.2.3 Controlul înregistrărilor

înregistrările trebuie să fie stabilite şi menţinute pentru a asigura dovada conformităţii cu cerinţele şi
operarea efectiva a SMSI. Acestea trebuie protejate şi controlate. SMSI trebuie să ţină cont de orice
cerinţe legale şi de reglementare relevante şi obligaţii contractuale. înregistrările trebuie să rămână
inteligibile, identificabile imediat şi recuperabile. Controalele necesare pentru identificare, depozitare,
protecţie, recuperare, perioadă de reţinere şi distrugere a înregistrărilor trebuie documentate şi
implementate.

înregistrările privind performanta procesului trebuie păstrate aşa cum este subliniat în paragraful 4.2
împreună cu toate incidentele de securitate semnificative apărute în cadrul SMSI.

EXEMPLU - Exemple de înregistrări sunt registrul de intrare a vizitatorilor, rapoartele de audit şi formularele de
autorizaţie de acces completate.

5.Conducerea

5.1 Conducere și angajament

Managementul de vârf trebuie să demonstreze conducere și angajamentul în ceea ce privește
sistemul de management al securității informației prin:

a) asigurarea politicii de securitate a informațiilor și obiectivele de securitate a informațiilor sunt

stabilite și sunt compatibile cu direcția strategică a organizației;

b) asigurarea integrării cerințelor sistemului de management al securității informației în

procesele organizației;

c) să se asigure că resursele necesare pentru sistemul de gestionare a informațiilor de securitate

sunt disponibile;

d) comunicarea importanței managementului eficient de securitate a informațiilor și în

conformitate cu cerințele sistemului de management al securității;

e) să se asigure că sistemul de management al securității informațiilor atinge rezultatul

preconizat (e);

f) conducerea și sprijinirea persoanelor care să contribuie la eficacitatea sistemului informațional

de management al securității;

g) promovarea îmbunătățirii continue; și

h) sprijinirea altor roluri de management relevante pentru a demonstra conducerii lor, deoarece
se aplică în domeniile lor de responsabilitate.

5.2 Politica

Managementul de vârf trebuie să stabilească o politică de securitate a informațiilor care:

a) este adecvată scopului organizației;

b) include obiective de securitate a informațiilor (a se vedea 6.2) sau oferă cadrul pentru
stabilirea obiectivelor de securitate a informațiilor;

c) include un angajament de a satisface cerințele aplicabile privind securitatea informațiilor; și

d) include un angajament de îmbunătățire continuă a sistemului informațional de management al

securității. Politica de securitate a informațiilor trebuie:

e) să fie disponibil sub formă de informații documentate;

f) să fie comunicate în cadrul organizației; și

g) să fie puse la dispoziția părților interesate, după caz.

5.3 Roluri organizatorice, responsabilitățile și autoritățile

Managementul de vârf trebuie să se asigure că responsabilitățile și autoritățile pentru rolurile
relevante pentru securitatea informațiilor sunt atribuite și comunicate.

Conducerea superioară atribuie responsabilitatea și autoritatea pentru:

a) să se asigure că sistemul de management al securității informației conform cu cerințele

prezentului standard internațional; și

b) raportarea cu privire la performanța sistemului informațional de management al securității

pentru top management.

gestionare NOTĂ: Sus poate atribui, de asemenea, responsabilitățile și autoritățile pentru

raportarea performanțelor sistemului de management al securității informațiilor în cadrul
organizației.

6 Planificarea

6.1 Acțiuni pentru abordarea riscurilor și oportunităților

6.1.1 General

Atunci când se planifică pentru sistemul de management al securității informațiilor, organizația

trebuie să ia în considerare aspectele menționate la punctul 4.1 și cerințele menționate la punctul
4.2 și să determine riscurile și oportunitățile pe care trebuie să le fie adresate:

a) asigură sistemul informatic de management de securitate poate atinge rezultatul preconizat (e);

b) să prevină sau să reducă efectele nedorite; și

c) să realizeze o îmbunătățire continuă. Organizația trebuie să planifice:

d) acțiuni pentru abordarea acestor riscuri și oportunități; și

e) cum să

1) să integreze și să pună în aplicare acțiunile în procesele sale de sistem de management al

securității; și

2) să evalueze eficacitatea acestor acțiuni.

6.1.2 Informații de evaluare a riscurilor de securitate

Organizația trebuie să definească și să aplice un proces de evaluare a informațiilor de securitate a

riscurilor care:

a) stabilește și menține criterii de risc de securitate a informațiilor, care includ:

1) criteriile de acceptare a riscurilor; și

2) criterii pentru efectuarea evaluărilor riscurilor de securitate a informațiilor;

b) se asigură că evaluările repetate a riscurilor de securitate a informațiilor produc rezultate

consistente, valide și comparabile;

c) identifică riscurile de securitate a informațiilor:

1) se aplică procesul de evaluare a riscurilor de securitate a informațiilor pentru a identifica

riscurile asociate cu pierderea confidențialității, integrității și disponibilității pentru informații în
domeniul de aplicare a sistemului de gestionare a informațiilor de securitate; și

2) să identifice proprietarii de risc;

d) analizează riscurile de securitate a informațiilor:

1) evaluează consecințele potențiale care ar rezulta în cazul în care riscurile identificate la 6.1.2
c) 1) au fost

să se materializeze;

2) să evalueze probabilitatea realistă a producerii riscurilor identificate la 6.1.2 c) 1); și

3) determinarea nivelurilor de risc;

e) evaluează riscurile de securitate a informațiilor:

1) compară rezultatele analizei de risc cu criteriile de risc stabilite la 6.1.2 a); și

2) acordă prioritate riscurilor analizate pentru tratamentul riscului.

Întreprinderea păstrează informațiile documentate în privința procesului de evaluare a riscurilor

de securitate a informațiilor.

6.1.3 Informații de tratament risc de securitate

Organizația trebuie să definească și să aplice un proces de tratare a riscului de securitate de

informații:

a) selectați opțiunile corespunzătoare de tratare a informațiilor de risc de securitate, ținând seama

de rezultatele evaluării riscurilor;

b) să determine toate controalele care sunt necesare pentru a pune în aplicare opțiunea (e)
tratamentul riscului de securitate a informațiilor alese;

Organizațiile NOTĂ pot proiecta controale în funcție de necesități, sau de a le identifica din
orice sursă.

c) să compare controalele stabilite în 6.1.3 b) de mai sus, cu cele din anexa A și verifica dacă nu
controalele necesare au fost omise;
NOTA 1 Anexa A conține o listă cuprinzătoare de obiective și controale de control. Utilizatorii
acestui standard internațional sunt direcționate către anexa A pentru a se asigura că nu
controalele necesare sunt trecute cu vederea.

Obiectivele NOTA 2 Controlul sunt implicit incluse în controalele alese. Obiectivele de control
și

Controalele enumerate în anexa A nu sunt exhaustive și pot fi necesare obiective suplimentare de

control și de control.

d) elaborează o declarație Aplicabilitate care conține controalele necesare (a se vedea 6.1.3 b) și

c)), precum și o justificare pentru incluziuni, indiferent dacă acestea sunt puse în aplicare sau nu,
precum și justificarea pentru excluderea controalelor din anexa A;

e) formularea unui plan de informații de securitate de tratament a riscului; și

f) să obțină aprobarea proprietarilor de risc ", a planului de tratare a riscurilor de securitate a

informațiilor și acceptarea riscurilor reziduale de securitate a informațiilor.

Întreprinderea păstrează informațiile cu privire la tratamentul documentate de risc de securitate a

informațiilor

proces.

NOTĂ Evaluarea riscurilor de securitate a informațiilor și a procesului de tratament în prezentul

standard internațional se aliniază cu principiile și orientările generale prevăzute în standardul
ISO 31000 [5].

Obiectivele de securitate 6.2 Informare și planificare pentru a le atinge

6.2 Informatii de securitate a obiectivelor si planificarea pentru ale atinge

Organismul trebuie să stabilească obiective de securitate a informațiilor la funcțiile și nivelurile

relevante. Obiectivele de securitate ale informațiilor trebuie:

a) să fie în concordanță cu politica de securitate a informațiilor;

b) să fie măsurabile (dacă este posibil);

c) să ia în considerare cerințele privind securitatea contului de informații aplicabile, precum și

rezultatele de la evaluarea riscului și tratamentul riscului;
d) să fie comunicate; și

e) să fie actualizate, după caz.

Organizația trebuie să păstreze informațiile documentate cu privire la obiectivele de securitate a

informațiilor.

Atunci când se planifică modul de a-și atinge obiectivele de securitate a informațiilor,

organizația determină: f) ce se va face;

g) ce resurse vor fi necesare;

h), care va fi responsabil;

i) atunci când acesta va fi finalizat; și

j) modul în care vor fi evaluate rezultatele.

7 Suport

7.1 Resurse

Organizația trebuie să determine și să furnizeze resursele necesare pentru stabilirea,

implementarea, menținerea unui CONTINUA ȘI îmbunătățirea sistemului de management al al
informațional securității.

7.2 Competență

Întreprinderea:

a) stabilește competența necesară persoanei (persoanelor) face lucrarea sub controlul său, care
afectează performanța de securitate a informațiilor;

b) să se asigure că aceste persoane sunt competente, pe baza unei educații ppropriate, formare
sau experiență;

c) dacă este cazul, să ia măsuri pentru a dobândi competența necesară, și să evalueze eficiența
acțiunilor întreprinse; și

d) să păstreze informațiile documentate corespunzătoare ca dovadă a competenței.

NOTĂ Acțiuni aplicabile pot include, de exemplu: furnizarea de formare la, îndrumarea sau
atribuirea re a angajaților actuali; sau închirierea sau contractarea de persoane competente.

7.3 Conștientizarea

Persoanele care efectuează muncă sub controlul organizației trebuie să fie conștienți de:
a) politica de securitate a informațiilor;

  b) contribuția la eficacitatea sistemului de gestionare a informațiilor de securitate, inclusiv

beneficiile performanței de securitate îmbunătățite de informații; și

c) implicațiile care nu sunt conforme cu cerințele sistemului de management al securității

informațiilor.

7.4 Comunicare

Întreprinderea stabilește necesitatea unor comunicări interne și externe relevante pentru sistemul
de management al securității informației, inclusiv:

a) pe ce să comunice;

b) când să comunice;

c) cu care să comunice;

d), care se comunică; și

e) procesele prin care comunicarea se efectuează.

7.5 Informații Documentat

7.5.1 generale

Sistemul de gestionare a informațiilor de securitate ale organizației includ:

a) informațiile solicitate de prezentul standard internațional documentat; și

b) documentate informații determinate de organizație ca fiind necesare pentru eficacitatea

sistemului informațional de management al securității.

NOTĂ Gradul de informații documentate pentru un sistem informatic de management de

securitate pot diferi de la o organizație la alta din cauza:

1) mărimea organizației și tipul său de activitate, procese, produse și servicii;

2) complexitatea proceselor și a interacțiunilor acestora; și

3) competența persoanelor.

7.5.2 Crearea și actualizarea

Crearea și actualizarea informațiilor documentate organizația se asigură corespunzătoare:

a) identificarea și descrierea (de exemplu, o, data, autorul, sau numărul de referință din titlu);

b) formatul (de exemplu limba, versiunea software, grafică) și mass-media (de exemplu, hârtie,
electronice); și

c) revizuirea și aprobarea privind caracterul adecvat și caracterul adecvat.

7.5.3 Controlul informațiilor documentate

Informații documentata cerute de sistemul informatic de management al securității și de

prezentul standard internațional trebuie să fie controlate pentru a asigura:

a) este disponibil și adecvat pentru utilizare, în cazul în care și atunci când este necesar; și

b) este protejat în mod adecvat (de exemplu, de la pierderea confidențialității, utilizarea

necorespunzătoare sau pierderea integrității).

Pentru controlul informațiilor documentate, organizația trebuie să abordeze următoarele

activități, după caz:

c) distribuirea, accesul, regăsire și utilizare;

d) depozitarea și conservarea, inclusiv conservarea lizibilitate;

e) controlul modificărilor (de exemplu, de control al versiunii); și f) reținerea și dispunerea.

Informatiile documentata de origine externă, determinată de organizație să fie necesare pentru

planificarea și funcționarea sistemului de management al securității informațiilor, se identifică,
după caz, și controlată.

NOTĂ Accesul presupune o decizie privind permisiunea de a vizualiza doar informațiile

documentate, sau permisiunea și autoritatea de a vizualiza și modifica informațiile documentate,
etc.

8 Funcționare

8.1 Planificarea și Controlul operațional

Organizația trebuie să planifice, să implementeze și să controleze procesele necesare pentru a

îndeplini cerințele privind securitatea informațiilor, precum și să pună în aplicare acțiunile
stabilite la punctul 6.1. Organizația implementează, de asemenea, planuri pentru atingerea
obiectivelor de securitate a informațiilor stabilite la punctul 6.2.

Organizația trebuie să păstreze informațiile documentate în măsura în care este necesar pentru a
avea încredere că procesele au fost efectuate conform planului.
Organizația trebuie să controleze modificările planificate și să revizuiască consecințele
modificărilor neintenționate, luarea de măsuri pentru a atenua orice efecte adverse, după cum
este necesar.

Întreprinderea se asigură că procesele externalizate sunt determinate și controlate.

8.2 Informații de evaluare a riscurilor de securitate

Organizația trebuie să efectueze evaluări ale riscurilor de securitate a informațiilor la intervale

planificate sau când sunt propuse modificări semnificative sau apar, ținând seama de criteriile
stabilite la 6.1.2 a).

Organizația trebuie să păstreze informațiile documentate cu privire la rezultatele evaluărilor

riscurilor de securitate a informațiilor.

8.3 Informații de tratament risc de securitate

Organizația trebuie să pună în aplicare planul de tratare a riscurilor de securitate a informațiilor.

Organizația trebuie să păstreze informațiile documentate cu privire la rezultatele tratamentului

riscului de securitate a informațiilor.

9.Evaluarea performanțelor

9.1 Monitorizarea, măsurare, analiză și evaluare

Organizația evaluează performanța de securitate a informațiilor și eficiența sistemului

informațional de management al securității.

Organizația trebuie să determine:

a) ce trebuie să fie monitorizate și evaluate, inclusiv procesele și controalele de securitate a

informațiilor;

 b) metodele de monitorizare, măsurare, analiză și evaluare, după caz, pentru a asigura rezultate
valide;

NOTĂ Metodele selectate trebuie să producă rezultate comparabile și reproductibile pentru a fi

considerate valabile.

c) atunci când se efectuează monitorizarea și măsurarea;

d) care monitorizează și măsoară;

e) în cazul în care rezultatele obținute în urma monitorizării și măsurării trebuie să fie analizate și
evaluate; și f), care analizează și evaluează aceste rezultate.

Întreprinderea păstrează informațiile documentate corespunzătoare ca dovadă a rezultatelor

monitorizării și a măsurătorilor.

9.2 Auditul intern

Organizația trebuie să efectueze audituri interne la intervale planificate pentru a furniza

informații cu privire dacă sistemul de gestionare a informațiilor de securitate:

a) se conformează

1) cerințele proprii ale organizației pentru sistemul său de management al securității informației;
și

2) cerințele prezentului standard internațional;

b) este pus în aplicare și se menține în mod eficient. Întreprinderea:

c) să planifice, să stabilească, să implementeze și să mențină un program (e) de audit, inclusiv

frecvența, metodele, responsabilitățile, cerințele de planificare și raportare. Programul de audit
(e) trebuie să ia în considerare importanța proceselor în cauză și rezultatele auditurilor
precedente;

d) să definească criteriile de audit și a domeniului de aplicare pentru fiecare audit;

e) selectează auditorilor și realizarea de audituri care să asigure obiectivitatea și imparțialitatea

procesului de audit; f) să se asigure că rezultatele auditurilor sunt raportate conducerii relevante;
și

g) să păstreze informațiile documentate ca dovadă a programului (e) de audit și rezultatele

auditului.

recenzie 9.3 Managementul

Conducerea superioară analizează sistemul de management al securității informațiilor

organizației la intervale planificate pentru a se asigura în permanență corespunzător, adecvat și
eficient.

Evaluarea conducerii trebuie să includă luarea în considerare a:

a) stadiul acțiunilor din analizele anterioare efectuate de management;

b) schimbări în probleme externe și interne, care sunt relevante pentru sistemul de management
al securității informației;

c) feedback cu privire la performanța de securitate a informațiilor, inclusiv tendințele:

1) neconformitati și acțiuni corective;

2) rezultatele monitorizării și măsurare;

3) Rezultatele auditului; și

4) realizarea obiectivelor de securitate a informațiilor;

d) feedback din partea părților interesate;

e) rezultatele evaluării riscurilor și a stării planului de tratare a riscurilor; și f) oportunități de

îmbunătățire continuă.

Ieșirile analizei de management includ decizii referitoare la oportunitățile de îmbunătățire

continuă și de orice are nevoie de modificări ale sistemului de management al securitatii
informatiei.

Întreprinderea păstrează informațiile documentate ca dovadă a rezultatelor analizelor de

management.

10 Îmbunătățirea

10.1 nonconformism și măsuri corective

Atunci când are loc un nonconformism, organizația:

a) reacționează la neconformitatilor, și după caz:

1) să ia măsuri pentru a controla și de a corecta aceasta; și

2) a face față consecințelor;

b) să evalueze necesitatea de a acționa pentru a elimina cauzele neconformitatilor, pentru ca

aceasta să nu se repete sau apar în altă parte, prin:

1) revizuirea neconformitatilor;

2) determinarea cauzelor neconformitatilor; și

3) determinarea dacă există neconformitățile similare, sau pot apărea potențial;

c) să pună în aplicare orice acțiune necesară;

d) să evalueze eficacitatea oricărei acțiuni corective întreprinse; și

e) să facă modificări ale sistemului de management al securității informațiilor, dacă este necesar.
Acțiunile corective trebuie să fie adecvate efectelor neconformitatilor întâlnite. Organizația
trebuie să păstreze informațiile documentate ca dovadă:

f) natura neconformităților și orice acțiuni ulterioare întreprinse și

g) rezultatele oricărei acțiuni corective.

10.2 Îmbunătățirea continuă

Organizația trebuie să îmbunătățească în mod continuu, gradul de adecvare și eficiența

sistemului informațional de management al securității.

anexa A

(normativ)

Obiectivele și controalele de control de referință

Obiectivele de control și controalele enumerate în tabelul A.1 sunt derivate direct din și aliniate
cu cele

enumerate în ISO / IEC 27002: 2013 [1], clauzele 5 până la 18 și urmează să fie utilizate în
context, cu clauza 6.1.3.

Tabelul A.1 - obiective și controale de control

A.5 Politicile de securitate de informații

A.5.1 Direcția de management pentru securitatea informațiilor
Obiectiv: Pentru a oferi o direcție de management și de sprijin pentru securitatea informațiilor, în
conformitate cu cerințele de afaceri și legile și reglementă rile relevante.
Control
Politicile de Un set de politici de securitate a informațiilor trebuie să fie definite,
A.5.1.1
securitate a aprobate de către conducere, publicat și comunicat angajaților și
informațiilor părților externe relevante.
 Control
Revizuire a
A.5.1.2 politicilor de Politicile de securitate a informațiilor sunt revizuite la intervale
securitate a planificate sau în cazul în care apar modificări semnificative
informațiilor pentru a se asigura lor continuă, gradul de adecvare și de
A.6 eficacitate.
Organizarea de securitate a informațiilor
A.6.1 organizare internă
Obiectiv: Stabilirea unui cadru de management pentru a iniția și de a controla punerea în
aplicare și operarea securită ții informațiilor în cadrul organizației.
roluri și Control
A.6.1.1 responsabilită ți de Toate responsabilitățile de securitate a informațiilor sunt definite
securitate a și alocate.
informațiilor
Control
A.6.1.2 Separarea îndatoririle conflictuale și domeniile de responsabilitate trebuie să
atribuțiilor fie separate pentru a reduce oportunitățile pentru modificarea sau
utilizarea necorespunzătoare a activelor organizației neautorizate
sau neintenționate.
Control
Contactul cu
A.6.1.3
autorită țile contacte corespunzătoare cu autoritățile competente trebuie să fie
menținute.
Control
Contactul cu speciale contacte corespunzătoare cu grupuri de interese speciale sau a
A.6.1.4
grupuri de interes altor grupuri de securitate și liste cu specializare asociațiile
profesionale trebuie să fie menținute.
Control
securitatea
A.6.1.5 securitatea informațiilor se adresează în managementul de
informațiilor
în managementul de proiect, indiferent de tipul proiectului.
proiect
A.6.2 Dispozitivele mobile și telemunca
Obiectiv: Pentru a asigura securitatea și lucrul la distanță folosirea dispozitivelor mobile.

Control
A.6.2.1 Politica Dispozitiv O măsuri de securitate de sprijin al politicii și se adoptă pentru
mobil a gestiona riscurile introduse prin utilizarea dispozitivelor
mobile.
Control
A.6.2.2 telemunca O măsuri de securitate de sprijin al politicii și trebuie să fie puse în
aplicare pentru a proteja informațiile accesate, prelucrate sau
depozitate în locuri teleworking.
A.7 securitatea resurselor umane
A.7.1 Înainte de a ocupării forței de muncă
Obiectiv: Pentru a se asigura că angajații și contractorii să înțeleagă responsabilită țile lor și sunt
corespunztoare pentru rolurile pentru care au fost luate în considerare.
Control
controale de verificare de fond cu privire la toți candidații pentru
A.7.1.1 screening-ul ocuparea forței de muncă se efectuează în conformitate cu legile,
reglementările și etică și trebuie să fie proporționale cu cerințele
de business, clasificarea informațiilor care urmează să fie accesate
și riscurile per- recepționat.
Control
Termeni și condiții Acordurile contractuale cu angajații și contractorii trebuie să
A.7.1.2
de încadrare în precizeze și responsabilitățile organizației lor pentru securitatea
muncă informațiilor.
A.7.2 în timpul ocupării forței de muncă
Obiectiv: Pentru a se asigura că angajații și contractorii sunt conștienți și să îndeplinească securitatea
informațiilor
responsabilită ți. Control
responsabilităţ
A.7.2.1 ile conducerii Gestionare solicită toți angajații și contractorii să aplice
securitatea informațiilor, în conformitate cu politicile și
procedurile stabilite ale organizației.
Control
conștientizare de Toți angajații organizației și, în cazul în care tors relevante,
A.7.2.2 securitate a beneficiază de educație contractanții corespunzătoare de
informațiilor, sensibilizare și de formare și actualizări periodice ale politicilor și
educația și procedurilor organizației, relevante pentru funcția lor de locuri
formarea de muncă.
Control
Trebuie să existe un proces disciplinar formal și comunicate
A.7.2.3 Procesul disciplinar
în loc să ia măsuri împotriva angajaților care au comis o
încălcare a securității informațiilor.
A.7.3 Terminarea și schimbarea locului de muncă
Obiectiv: Pentru a proteja interesele organizației, ca parte a procesului de schimbare sau de
încheiere de muncă .
Încetarea sau Control
schimbarea
A.7.3.1 responsabilităților de responsabilitățile de securitate a informațiilor și a taxelor, care
muncă rămân valabile după încetarea sau schimbarea locului de muncă
sunt definitive, comunicate angajatului sau contractant și puse în
A.8 Gestionarea activelor aplicare.

A.8.1 Responsabilitatea pentru active

Obiectiv: Identificarea activelor organizaționale și să definească responsabilită țile de protecție

corespunză toare. Control
A.8.1.1 Inventarul activelor Activele asociate cu instalațiile de prelucrare a informațiilor și de
informații sunt identificate și un inventar al acestor active se
întocmește și se menține.
Control
A.8.1.2 Proprietatea asupra
activelor Activele menținute în inventar sunt deținute.
 Control
utilizare se identifică normele de utilizare acceptabilă a informațiilor și a
A.8.1.3
acceptabilă a activelor asociate cu facilități de prelucrare a informațiilor și de
activelor informare, documentate și puse în aplicare.
Control
A.8.1.4 Returnare activelor Toți angajații și utilizatorii externi de partid se vor întoarce toate
activele organizaționale aflate în posesia lor după încetarea
contractului de muncă, contractul sau acordul lor.
A.8.2 clasificare
Obiectiv: Pentru a se asigura că informațiile primește un nivel adecvat de protecție, în funcție de
importanța acesteia organizației.
Control
Clasificarea Informațiile se clasifică în ceea ce privește cerințele legale,
A.8.2.1
informațiilor valoare, criticalitatea și sensibilitate la dezvăluirea sau
modificarea neautorizată.
Control
Etichetarea Un set adecvat de proceduri de etichetare informații sunt
A.8.2.2
informațiilor elaborate și puse în aplicare în conformitate cu sistemul de
clasificare de informații adoptate de organizație.
Control
A.8.2.3 Manevrarea activelor Procedurile de manipulare a activelor sunt elaborate și puse în
aplicare în conformitate cu sistemul de clasificare de informații
adoptate de organizație.
A.8.3 Modul de tartare
Obiectiv: Pentru a preveni divulgarea neautorizată , modificarea, înlă turarea sau distrugerea
informațiilor stocate pe suport.
Control
Managementul Procedurile trebuie să fie pus în aplicare pentru gestionarea mass-
A.8.3.1
mass-media media amovibil, în conformitate cu schema de clasificare adoptată
amovibil de către organizație.
Control
A.8.3.2 Aruncarea mass- Mass-media trebuie să fie eliminate în siguranță, atunci când nu
media mai este necesar, folosind proceduri formale.
Control
Transfer media
A.8.3.3 Mass-media care conțin informații sunt protejate împotriva
fizice
accesului neautorizat, utilizarea necorespunzătoare sau corupție în
A.9 Controlul accesului timpul transportului.

A.9.1 Cerințe de afaceri de control al accesului

Obiectiv: Pentru a limita accesul la instalațiile de prelucrare a informațiilor și de informare.

Control
Politica de control al
A.9.1.1 accesului O politică de control al accesului se stabilesc, documentate și
revizuite, pe baza cerințelor de securitate și de informații.
 Control
Accesul la rețele și
A.9.1.2 Utilizatorii ce vor fi furnizate numai cu acces la rețea și serviciile
servicii de rețea
de rețea pe care le-au fost autorizate în mod specific de a utiliza.
A.9.2 managementul accesului utilizator
Obiectiv: Pentru a asigura accesul utilizatorilor autorizați și pentru a preveni accesul neautorizat
la sistemele și serviciile.
Înregistrare Control
utilizator și radierea
A.9.2.1 Un proces oficial de înregistrare a utilizatorului și trebuie să fie
puse în aplicare de anulare a înregistrării, pentru a permite
cesiunea
Control drepturilor de acces.
acces utilizator de Un proces formal de asigurare a accesului de acces ale
A.9.2.2
asigurare a utilizatorilor sunt puse în aplicare pentru a atribui sau de revocare
accesului a drepturilor de acces pentru toate tipurile de utilizatori la toate
sistemele
Control și serviciile.
Gestionarea
A.9.2.3 Alocarea și utilizarea drepturilor de acces privilegiate
drepturilor de
acces privilegiate trebuie să fie restricționată și controlată.
Gestionarea Control
A.9.2.4 informațiilor secret Alocarea de informații de autentificare secrete sunt controlate
de autentificare a printr-un proces de management formal.
utilizatorilor
Revizuirea de acces Control
A.9.2.5
utilizator Proprietarii de active trebuie să revizuiască drepturile de acces ale
drepturile utilizatorilor la intervale regulate.
Control
Îndepărtarea sau
ajustarea drepturilor de Drepturile de acces ale tuturor angajaților și utilizatorilor parte
A.9.2.6 externă facilitățile de prelucrare a informațiilor și de informare se
acces
vor retrage la încetarea contractului de muncă, contractul sau
acordul lor, sau ajustate la schimbarea locului.
A.9.3 responsabilități utilizator
Obiectiv: Pentru a face utilizatorii responsabili pentru protejarea informațiilor de autentificare.
Control
Folosirea
A.9.3.1 Utilizatorii trebuie să urmeze practicile organizației în utilizarea
informațiilor secret
de autentificare informațiilor secrete de autentificare.
A.9.4 Sistem de control și aplicații acces
Obiectiv: Pentru a preveni accesul neautorizat la sisteme și aplicații.
Control
accesul la informații
A.9.4.1 Accesul la funcțiile de informare și de sistem de aplicare se
restricţie
limitează în conformitate cu politica de control al accesului.
Log securizat pe Control
procedurile
A.9.4.2 În cazul în care este necesar de politica de control al accesului,
accesul la sisteme și aplicații sunt controlate printr-o procedură
sigură de logare pe.

Sistemul de Control
gestionare a
A.9.4.3 Sistemele de gestionare a parolei trebuie să fie interactive și
parolei
asigură parole de calitate.
 Control
Utilizarea Utilizarea programelor utilitare care ar putea fi capabile să
A.9.4.4
programelor utilitare imperative de sistem și de aplicare controalele sunt
privilegiate restricționate și strict controlat.
Controlul accesului la Control
A.9.4.5 codul sursă al
programului Accesul la codul sursă al programului este restricționat.

A.10 Criptografie
A.10.1 controale criptografic
Obiectiv: Pentru a asigura o utilizare corectă și eficientă a criptografiei pentru a proteja
confidențialitatea, autenticitatea și / sau integritatea informațiilor.
Control
Politica privind
A.10.1. O politică privind utilizarea controalelor criptografice pentru
utilizarea
1 controalelor protecția informațiilor sunt elaborate și puse în aplicare.
Control
A.10.1. Gestionarea cheilor O politică privind utilizarea, protecția și durata de viață a cheilor
2 criptografice sunt elaborate și puse în aplicare prin intermediul
A.11 întregului lor ciclu de viață.
Securitatea fizică și de mediu
A.11.1 zonele securizate
Obiectiv: Pentru a preveni accesul neautorizat fizic, deteriorarea și interferența la instalațiile de
prelucrare a informațiilor și de informare ale organizației.
Control
Securitate fizică perimetre de securitate sunt definite și utilizate pentru a proteja
A.11.1.
Perimetru zonele care conțin facilități, fie sensibile sau critice de informații și
1
de prelucrare a informațiilor.
Control
A.11.1. Controale de intrare zonele securizate sunt protejate prin controale de intrare
2 fizice corespunzătoare pentru a se asigura că numai personalul
autorizat
Control sunt permise de acces.
Securizarea
A.11.1. Securitatea fizică pentru birouri, camere și facilități sunt
birouri, camere
3 și facilită ți proiectate și aplicate.
Protejarea Control
A.11.1. împotriva Protecție fizică împotriva dezastrelor naturale, atac rău
4 amenință rilor intenționat sau accidente trebuie să fie proiectate și aplicate.
externe și de
Control
Munca în zone
A.11.1. Proceduri pentru lucrul în zone sigure trebuie să fie
sigure
5 proiectate și aplicate.
Control
zone de livrare și Punctele de acces, cum ar fi livrarea și de încărcare zone și alte
A.11.1. puncte în cazul în care persoane neautorizate ar putea intra în
de încă rcare
6 incinta trebuie să fie controlate și, dacă este posibil, izolate de la
instalațiile de prelucrare a informațiilor pentru a evita accesul
neautorizat.

A.11.2 echipament
Obiectiv: Pentru a preveni pierderea, deteriorarea, furtul sau compromiterea bunurilor și
întreruperea operațiunilor organizației.
Control
Echipamente lucră ri Echipamentele trebuie să fie amplasate și protejate pentru a
A.11.2.
de montaj și reduce riscurile generate de amenințările de mediu și de pericole
1
Protecţie și oportunități de acces neautorizat.
Control
A.11.2. sprijinirea utilită ților Echipamentele trebuie să fie protejate împotriva căderilor de
2 tensiune și a altor întreruperi cauzate de defecțiuni în susținerea
utilităților.
Control
A.11.2. securitate cablare Putere și de telecomunicații de cablare care transportă date sau
3 sprijiná serviciilor de informații trebuie să fie protejate de
interceptare, interferențe sau pagube.
Control
Intretinere de
A.11.2. Echipamentele trebuie să fie menținute în mod corect pentru a
echipamente
4 asigura disponibilitatea continuă și integritatea.
Control
A.11.2. Îndepă rtarea Echipamente, informații sau software nu sunt luate în afara
5 activelor amplasamentului fără o autorizație prealabilă.
Securitatea Control
A.11.2. echipamentelor și De securitate se aplică activelor în afara amplasamentului, luând
6 a bunurilor în afara în considerare diferitele riscuri de a lucra în afara sediului
spațiilor organizației.
comerciale
eliminare Control
securizată sau
A.11.2. reutilizarea Toate elementele de echipamente care conțin suporturi de
7 echipamentelor stocare sunt verificate pentru a se asigura că toate datele
sensibile și software licențiat au fost eliminate sau în siguranță,
suprascrise
Control înainte de eliminare sau de re-utilizare.
echipamente
A.11.2. Utilizatorii ce se asigură că echipamentul nesupravegheat are
utilizator
8 nesupraveghe adecvat
protecţie.
Control
Politica de ecran O politică clară de birou pentru documente și suporturi de stocare
A.11.2.
clar si de birou detașabile și
9 clar se adoptă o politică de ecran clar pentru instalațiile de
prelucrare a informațiilor.
A.12 securitate operațiuni
A.12.1 Proceduri și responsabilități operaționale
Obiectiv: Pentru a asigura funcționarea corectă și sigure ale instalațiilor de prelucrare a informațiilor.
Control
operare documentata
A.12.1. Procedurile de funcționare trebuie să fie documentate și puse la
procedure
1 dispoziția tuturor utilizatorilor care au nevoie de ele.
Control
A.12.1. Managementul Modificări ale organizării, proceselor de afaceri, instalații de
2 schimbă rii procesare a informațiilor și sistemele care afectează securitatea
informațiilor sunt controlate.
 Control
A.12.1. capacitate de Utilizarea resurselor ar trebui să fie monitorizate, reglate și
3 management previziunile făcute de cerințe de capacitate viitoare pentru a
asigura performanțele necesare sistemului.
Separarea de Control
dezvoltare, testare Dezvoltare, testare și medii operaționale trebuie să fie separate
A.12.1.
și medii pentru a reduce riscurile de acces sau modificări neautorizate la
4 operaționale mediul operațional.
A.12.2 Protecția împotriva malware-ului
Obiectiv: Pentru a se asigura că instalațiile de informații și de informații de procesare sunt
protejate impotriva malware-ului.
Control
Controale Detectare, prevenire și recuperare de control pentru a proteja
A.12.2.
împotriva împotriva malware-ului trebuie să fie puse în aplicare,
1 malware-ului combinată cu conștientizarea adecvată utilizator.
A.12.3 Backup
Obiectiv: Pentru a vă proteja împotriva pierderii datelor.
Control
A.12.3. informaţii de backup copii de rezervă ale informațiilor, software și de sistem de imagini
1 trebuie să fie prelevate și testate în mod regulat, în conformitate cu
o politică de rezervă a fost de acord.
A.12.4 E x p l o a t a r e fo r e s t i e r ă ș i m o n i t o r i z a r e a
Obiectiv: Pentru a înregistra evenimente și de a genera probe.
Control
logare eveniment
A.12.4. jurnalele de evenimente de înregistrare activități ale
1 utilizatorilor, excepții, greșeli și evenimentele de securitate de
informații ar trebui să fie produse, păstrate și revizuite în mod
regulat.
Control
Protecția
A.12.4. Conectându facilități și informații de jurnal sunt protejate
informațiilor jurnal
2 împotriva falsificării și a accesului neautorizat.
Control
Busteni de
A.12.4. autentificat administrator de sistem și activitățile
administrator si
3 operator de operatorului de sistem trebuie să fie și jurnalele protejate și
revizuite
Control în mod regulat.
A.12.4. ceas de sincronizare Ceasurile tuturor sistemelor de prelucrare a informațiilor
4 relevante din cadrul unei organizații sau un domeniu de securitate
trebuie să fie sincronizate cu o singură sursă de timp de referință.
A.12.5 Controlul software-ului operational
Obiectiv: Pentru a asigura integritatea sistemelor de operare.
Instalarea de Control
A.12.5. software pe Procedurile trebuie să fie puse în aplicare pentru a controla
1 sisteme de instalarea software-ului pe sistemele de operare.
operare
A.12.6 tehnică de gestionare a vulnerabilității
Obiectiv: Pentru a preveni exploatarea vulnerabilită ților tehnice.
 Control
Gestionarea Informații despre vulnerabilități tehnice ale sistemelor informatice
A.12.6. utilizate trebuie să fie obținute în timp util, expunerea organizației
vulnerabilităților
1 tehnice la astfel de vulnerabilități evaluate și mă- suri adecvate luate
pentru a aborda riscul asociat.
Control
Restricții privind
A.12.6. Normele care reglementează instalarea software-ului de
instalarea software-
2 către utilizatori sunt stabilite și puse în aplicare.
ului
A.12.7 Sisteme informatice considerente de audit
Obiectiv: Pentru a reduce la minimum impactul activită ților de audit asupra sistemelor de operare
Control
Sisteme Cerințele de audit și activitățile care implică verificarea
A.12.7.
informatice de sistemelor operaționale trebuie să fie atent planificate și au
1 audit Controale convenit să reducă la minimum perturbarea proceselor de
A.13 afaceri.
securitatea comunicațiilor
A.13.1 managementul securității rețelei
Obiectiv: Pentru a asigura protecția informațiilor în rețele și care sprijină instalațiile de
prelucrare a informațiilor.
Control
A.13.1. controale de rețea Rețelele sunt gestionate și controlate pentru a proteja informațiile
1 în sistemele și aplicații.
Control
Securitatea rețelei Mecanismele de securitate, nivelul de servicii și de gestionare a
A.13.1. cerințelor tuturor serviciilor de rețea trebuie să fie identificate și
Servicii
2 incluse în acordurile de servicii de rețea, indiferent dacă aceste
servicii sunt oferite in-house sau externalizate.
Control
Segregarea în
A.13.1. Grupuri de servicii de informare, utilizatorii și sistemele de
rețele
3 informații sunt separate pe rețele.
A.13.2 prin transfer de informații
Obiectiv: Pentru a menține securitatea informațiilor transferate în cadrul unei organizații și cu
orice entitate externă .
Control
politici și
A.13.2. proceduri de Formale politici de transfer, procedurile și controalele trebuie să
1 transfer de fie în loc pentru a proteja transferul de informații prin utilizarea
informații tuturor tipurilor de mijloace de comunicare.
Control
Acordurile privind
A.13.2. Acordurile abordează transferul securizat de informații de afaceri
transferul de
2 între organizație și părțile externe.
informații
Control
A.13.2. mesagerie Informații implicate în mesagerie electronică trebuie să fie
3 electronică protejate în mod corespunzător.
 Control
acorduri de sunt identificate cerințe pentru acordurile de confidențialitate
A.13.2.
confidențialitate sau sau non-divulgare care să reflecte nevoile organizației pentru
4 de nedivulgare protecția informațiilor, revizuite în mod regulat și documentat.
A.14 achiziție de sistem, dezvoltarea și întreținerea
A.14.1 Cerințe de securitate ale sistemelor informatice de întreținere
Obiectiv: Pentru a se asigura că securitatea informațiilor este o parte integrantă a sistemelor de
informație din întreaga întregului ciclu de viață. Aceasta include, de asemenea, cerințele privind
sistemele informatice care furnizează servicii prin intermediul rețelelor publice.
Control
Analiza și
A.14.1. specificarea Cerințele privind securitatea informațiilor sunt incluse în cerințele
1 cerințelor de pentru noile sisteme de informații sau îmbunătățirile aduse
securitate a sistemelor informatice existente.
Control
Servicii de
A.14.1. securizare de Informații implicate în serviciile de aplicații care trec prin rețele
2 aplicații în publice trebuie să fie protejate de activități frauduloase, dispute
rețelele publice contractuale a căror divulgare neautorizată și modificare.
Control
Protejarea Informații implicate în tranzacții de servicii de aplicare trebuie să
A.14.1. fie protejate pentru a preveni transmiterea incompletă, mis-
tranzacțiilor de
3 servicii de aplicații rutare, unau- modificarea mesajului izat, dezvăluirii neautorizate,
unauthor- duplicarea mesajului zată sau reluarea.
A.14.2 Securitatea în procesele de dezvoltare și support
Obiectiv: Pentru a se asigura că securitatea informațiilor este proiectat și implementat în cadrul
ciclului de dezvoltare a sistemelor informatice.
Control
dezvoltarea
A.14.2. Reguli pentru dezvoltarea de software și sisteme se stabilesc și se
securizată
1 aplică la evoluțiile din cadrul organizației.
politică
Controlul schimbare de Control
sistem
A.14.2. proceduri Modificările aduse sistemelor în cadrul ciclului de dezvoltare
2 trebuie să fie controlată prin utilizarea unor proceduri formale de
control
Control al schimbării.
analiză tehnică a
aplicațiilor după Atunci când platformele de operare sunt modificate, aplicațiile
A.14.2.
modifică ri critice de business sunt revizuite și testate pentru a se asigura că
3 platforma de nu există nici un impact negativ asupra operațiunilor sau a
operare securității organizaționale.
Restricții cu Control
A.14.2. privire la Modificările aduse pachetelor software sunt descurajați, limitate la
4 modifică rile modificările necesare și toate modificările trebuie să fie strict
aduse pachetelor controlate.
software
Control
Principiile sigure se stabilesc principii pentru sisteme sigure de inginerie,
A.14.2.
de inginerie documentate, întreținute și aplicate oricăror eforturi de
5 sistem implementare a sistemului de informații.
 Control
mediu de dezvoltare Organizațiile trebuie să stabilească și să protejeze în mod
A.14.2.
securizat corespunzător mediile de dezvoltare sigure pentru
6
eforturile de dezvoltare a sistemului și de integrare, care
acoperă
Control întregul ciclu de viață de dezvoltare a sistemului.
dezvoltare externalizată
A.14.2. Întreprinderea supraveghează și monitorizează
7 activitatea de dezvoltare a sistemului externalizat.
Control
Testarea de securitate a
A.14.2. Testarea funcționalității de securitate se efectuează în
sistemului
8 timpul dezvoltării.
Control
sistemul de acceptare
A.14.2. programe de testare de acceptare și criteriile aferente
Testarea
9 sunt stabilite pentru noile sisteme de informații, upgrade-
A.14.3 date de test uri și versiuni noi.

Obiectiv: Pentru a asigura protecția datelor utilizate pentru testare.

Control
A.14.3. Protecția datelor de test
1 Datele din acest test trebuie să fie atent selectate, protejate și
controlate.
A.15 relațiile cu furnizorii
A.15.1 securitatea informațiilor în relațiile cu furnizorii
Obiectiv: Pentru a asigura protecția activelor organizației, care este accesibilă de că tre furnizori.
Control
Politica de securitate a
A.15.1. informațiilor pentru cerințele privind securitatea informațiilor pentru reducerea
1 relațiile cu furnizorii riscurilor asociate cu accesul la furnizor active ale
organizației trebuie să fie de acord cu furnizorul si
documentat.
Control
de securitate în cadrul Toate cerințele relevante de securitate a informațiilor sunt
A.15.1. acordurilor cu furnizorul stabilite și convenite cu fiecare furnizor, care ar putea avea
2 adresare acces, proces, magazin, să comunice sau să furnizeze
componente de infrastructură pentru informații organizației
IT.
Control
lanțului de tehnologie de
A.15.1. informare și comunicare Acordurile cu furnizorii trebuie să includă cerințe pentru a
3 de aprovizionare aborda riscurile de securitate a informațiilor asociate cu
serviciile de tehnologia informației și comunicațiilor și a
lanțului
A.15.2 Furnizor de servicii de management de de aprovizionare de produse.
livrare
Obiectiv: Pentru a menține un nivel convenit de securitate a informațiilor și a furniză rii de servicii
în conformitate cu acordurile cu furnizorul.
Control
Monitorizarea și revizuirea
A.15.2. Organizațiile trebuie să monitorizeze în mod regulat,
de servicii cu furnizorul
1 revizuiește și furnizor de audit de livrare de servicii.
Control
Modificări la furnizarea de servicii de către furnizori, inclusiv
Gestionarea schimbă rilor în menținerea și îmbunătățirea politicilor, procedurilor și
A.15.2.
servicii de furnizorul controalelor existente de securitate a informațiilor, sunt
2
gestionate, ținând seama de criticitate de informații de
afaceri, sistemele și procesele implicate și re-evaluarea
riscurilor.
A.16 gestionarea incidentelor de securitate a informațiilor
A.16.1 Gestionarea incidentelor de securitate a informațiilor și îmbunătățiri
Obiectiv: Pentru a asigura o abordare consecventă și eficientă pentru gestionarea incidentelor de
securitate a informațiilor, inclusiv comunicarea cu privire la evenimentele de securitate și puncte
slabe.
responsabilităţi Control
A.16.1. și se stabilesc responsabilități și proceduri de management pentru a
1 procedure asigura un răspuns rapid, eficient și ordonat la incidente de
securitate a informațiilor.
Control
Raportarea
A.16.1. Evenimente de securitate a informațiilor ar trebui să fie raportate
evenimentelor de
2 securitate a prin intermediul canalelor de gestionare adecvate, cât mai repede
posibil.
Control
Raportarea Angajații și contractorii care utilizează sistemele și serviciile de
A.16.1. informare ale organizației sunt obligați să observe și să
punctelor slabe de
3 securitate a raporteze orice puncte slabe observate sau suspectate de
informațiilor securitate a informațiilor în siste- sau serviciile sistemului.
Control
Evaluarea și
A.16.1. decizia privind Evenimente de securitate a informațiilor ar trebui să fie
4 evenimentele de evaluate și se decide, în cazul în care acestea urmează să fie
securitate a clasificate drept incidente de securitate a informațiilor.
Control
Ca ră spuns la
A.16.1. incidentelor de securitate a informațiilor ar trebui răspuns în
incidente de
5 securitate a conformitate
informațiilor cu procedurile documentate.

Control
Studiu de la
A.16.1. incidente de Cunoștințele dobândite de la analiza și rezolvarea incidentelor de
6 securitate a securitate a informațiilor sunt utilizate pentru a reduce
informațiilor probabilitatea sau impactul incidentelor viitoare.

Control
A.16.1. Colectarea de probe Organizația trebuie să definească și să aplice proceduri pentru
7 identificarea, selectarea, achiziționarea și păstrarea
informațiilor, care pot servi drept probe.
A.17 aspectele legate de securitatea informațiilor de management al continuității afacerii
A.17.1 continuitatea securității informațiilor
Obiectiv: continuitatea Securitatea informațiilor sunt integrate în sistemele de management de
continuitate a activită ții organizației.
Control
Planificarea Întreprinderea stabilește cerințele sale pentru securitatea
A.17.1.1
continuită ții informațiilor și continuitatea gestionării securității informațiilor în
securită ții situații nefavorabile, de ex în timpul unei crize sau a unui dezastru.
informațiilor
Control
Punerea în aplicare Organizația stabilește, pune în aplicare și a proceselor, mențineti
A.17.1. a continuității proceduri și controale pentru a asigura nivelul necesar de
2 securității continuitate pentru securitatea informațiilor în timpul unei situație
informațiilor advers.
 Control
Verificați dacă, Întreprinderea verifică informațiile controalele de continuitate
A.17.1. analiza și evalua de securitate stabilite și puse în aplicare la intervale regulate,
3 continuitatea pentru a se asigura că acestea sunt valabile și eficiente în
securității timpul situațiilor nefavorabile.
informațiilor
A.17.2 concedieri
Obiectiv: Asigurarea disponibilită ții de facilită ți de prelucrare a informațiilor.
Disponibilitatea Control
A.17.2. de instalații de instalațiile de prelucrare a informațiilor trebuie să fie puse în
1 prelucrare a aplicare cu redundanță suficientă pentru a îndeplini cerințele de
informațiilor disponibilitate.
A.18 Conformitate
A.18.1 Conformitatea cu cerințele legale și contractuale
Obiectiv: Pentru a evita încă lcarea obligațiilor legale, statutare, de reglementare sau contractuale
legate de securitatea informațiilor și a orică ror cerințe de securitate.
Control
Identificarea
legislației aplicabile Toate statutară legislative relevante,, cerințe contractuale de
A.18.1. reglementare și abordarea organizației de a îndeplini aceste
și a cerințelor
1 contractuale cerințe trebuie să fie identificat în mod explicit, documentate și
actualizate pentru fiecare sistem de informare și organizare.
Control
Proprietate Se pun în aplicare proceduri adecvate pentru a asigura
A.18.1. respectarea cerințelor legislative, de reglementare și contractuale
intelectuală
2 referitoare la drepturile de proprietate intelectuală și utilizarea
Drepturile
produselor de soft brevetate.
Control
A.18.1. Protecția Înregistrările trebuie să fie protejate împotriva pierderii,
3 înregistră rilor distrugerii, falsificării, accesului neautorizat și eliberarea
neautorizată, în conformitate cu cerințele de legislație;, de
reglementare,
Control contractuale și de afaceri.
Protecția vieții
A.18.1. private și informații Protecția vieții private și a informațiilor personale de identificare
4 de identificare sunt asigurate în conformitate cu cerințele din legislația și
personală reglementările după caz relevante.
Controlată
Reglementarea
A.18.1. Controalele criptografice se utilizează în conformitate cu toate
controalelor
5 criptografice acordurile relevante, legislația și regulamentele.
A.18.2 recenzii de securitate a informațiilor
Obiectiv: Pentru a se asigura că securitatea informațiilor este implementată și funcționează în
conformitate cu politicile și procedurile organizaționale.
Control
Abordarea organizației de a gestiona securitatea informațiilor și
revizuire punerea în aplicare a acestuia (adică a obiectivelor de control,
A.18.2.
independentă a controale, politici, procese și proceduri de securitate a informațiilor
1
securitatea pro) sunt revizuite în mod independent, la intervale de timp
informațiilor planificate sau când au loc schimbări semnificative.
 Control
Conformitatea cu Managerii revizuiesc cu regularitate conformitatea prelucrării și a
A.18.2. politicile și procedurilor de informare în zona lor de responsabilitate cu
2 standardele de politicile de securitate corespunzătoare, standardele și orice alte
Securitate cerințe de securitate.
Control
conformitatea Sistemele informatice sunt revizuite în mod regulat pentru
A.18.2.
tehnică conformitatea cu politicile de securitate a informațiilor
3
revizuire organizației și standardele în.