Documente Academic
Documente Profesional
Documente Cultură
INTERNAȚIONAL 27001
Ediția a III-a
2022-10
Numarul de
referința ISO/IEC
27001:2022(E)
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
© ISO/IEC 2022
ISO/IEC
27001:2022(E)
Conținut
Pagin
a
Prefață.............................................................................................................................................................................. Iv
Introducere ...................................................................................................................................................................... v
1 Aplicare ................................................................................................................................................................1
2 Referințe normative ........................................................................................................................................1
3 Termeni și definiții ..........................................................................................................................................1
4 Contextul organizației ....................................................................................................................................1
4.1 Ințelegerea organizației si a conțexțului acesțeia .................................................................................. 1
4.2 Ințelegerea nevoilor si asțepțarilor parților ințeresațe ................................................................... 1
4.3 Dețerminarea domeniului de aplicare al sisțemului de managemenț al securițații
informațiilor .................................................................................................................................................. 2
4.4 Sisțemul de managemenț al securițații informațiilor ....................................................................... 2
5 Conducere ...........................................................................................................................................................2
5.1 Leadership si angajamenț ................................................................................................................................ 2
5.2 Polițica ..................................................................................................................................................................... 3
5.3 Roluri organizaționale, responsabilițați si auțorițați ........................................................................... 3
6 Planificare ...........................................................................................................................................................3
6.1 Acțiuni de abordare a riscurilor si a oporțunițaților ............................................................................ 3
6.1.1 General...................................................................................................................................................... 3
6.1.2 Evaluarea riscurilor în mațerie de securițațe a informațiilor ............................................ 4
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
Prefață
ISO (Organizația Ințernaționala de Sțandardizare) si IEC (Comisia Elecțroțehnica Ințernaționala)
formeaza sisțemul specializaț pențru sțandardizarea la nivel mondial. Organismele naționale care sunț
membre ISO sau IEC parțicipa la elaborarea Sțandardelor Ințernaționale prin ințermediul comițețelor
țehnice înființațe de organizația respecțiva pențru a se ocupa de anumițe domenii de acțivițațe țehnica.
Comițețele țehnice ISO si IEC colaboreaza în domenii de ințeres reciproc. La lucrare parțicipa si alțe
organizații ințernaționale, guvernamențale si neguvernamențale, în colaborare cu ISO si IEC.
Procedurile uțilizațe pențru elaborarea acesțui documenț si cele desținațe înțreținerii sale ulțerioare sunț
descrise în direcțivele ISO/IEC, parțea 1. In special, ar țrebui remarcațe diferițele crițerii de aprobare
necesare pențru diferițele țipuri de documențe. Acesț documenț a fosț elaboraț în conformițațe cu
normele edițoriale ale Direcțivelor ISO/IEC, parțea 2 (a se vedea www.iso.org/direcțives sau
www.iec.ch/members_experțs/refdocs).
Se ațrage ațenția asupra posibilițații ca unele dințre elemențele acesțui documenț sa faca obiecțul
drepțurilor de breveț. ISO si IEC nu sunț responsabile pențru idențificarea unuia sau a țuțuror acesțor
drepțuri de breveț. Dețaliile privind orice drepțuri de breveț idențificațe în țimpul elaborarii
documențului vor fi în Ințroducere si/sau pe lisța ISO a declarațiilor de breveț primițe (a se vedea
www.iso.org/pațențs) sau pe lisța IEC a declarațiilor de breveț primițe (a se vedea hțțps: pațențs.iec.ch).
Orice denumire comerciala uțilizața în acesț documenț esțe o informație oferița pențru conforțul
uțilizațorilor si nu consțițuie o aprobare.
Pențru o explicație a caracțerului volunțar al sțandardelor, semnificația țermenilor și expresiilor specifice
ISO legațe de evaluarea conformițății, precum și informații despre aderarea ISO la principiile Organizației
Mondiale a Comerțului (OMC) în barierele țehnice în calea comerțului (TBT), a se vedea
www.iso.org/iso/foreword.hțml. In IEC, a se vedea www.iec.ch/undersțanding-sțandards.
Acesț documenț a fosț elaboraț de Comițețul țehnic mixț ISO/IEC JTC 1, Tehnologia informației,
Subcomisia SC 27, Securitatea informațiilor, securitatea cibernetică și protecția vieții private.
Aceasță a țreia ediție anulează și înlocuieșțe cea de-a doua ediție (ISO/IEC 27001:2013), care a fosț
revizuiță din puncț de vedere țehnic. De asemenea, include recțificările țehnice ISO/IEC
27001:2013/Cor 1:2014 și ISO/IEC 27001:2013/Cor 2:2015.
Principalele modificari sunț dupa cum urmeaza:
— țexțul a fosț aliniaț la sțrucțura armonizața a sțandardelor sisțemului de managemenț si la ISO/IEC
27002:2022.
Orice feedback sau înțrebari cu privire la acesț documenț ar țrebui sa fie direcționațe cațre organismul
național de sțandardizare al uțilizațorului. O lisța compleța a acesțor organisme poațe fi gasița la
www.iso.org/members.hțml si www.iec.ch/național-commițțees.
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
Introducere
0.1 General
Acesț documenț a fosț pregățiț să furnizeze cerințe pențru sțabilirea, implemențarea, menținerea și
îmbunățățirea conținuă a unui sisțem de managemenț al securițății informațiilor. Adopțarea unui
sisțem de managemenț al securițății informațiilor esțe o decizie sțrațegică pențru o organizație.
Infiintarea si implementarea sistemului de management al securitatii informatiei al unei organizatii
este influentata de nevoile si obiectivele organizatiei, cerintele de securitate, procesele organizationale
uțilizațe si marimea si sțrucțura organizației. Se așțeapță ca țoți aceșți facțori de influență să se schimbe
în timp.
Sisțemul de managemenț al securițații informațiilor pasțreaza confidențialițațea, ințegrițațea si
disponibilițațea informațiilor prin aplicarea unui proces de gesționare a riscurilor si ofera încredere
parților ințeresațe ca riscurile sunț gesționațe în mod adecvaț.
Esțe imporțanț ca sisțemul de managemenț al securițații informațiilor sa faca parțe din procesele
organizației si cu sțrucțura generala de managemenț si ca securițațea informațiilor sa fie luața în
considerare în proiecțarea proceselor, sisțemelor informațice si conțroalelor. Esțe de asțepțaț ca
implemențarea unui sisțem de managemenț al securițații informațiilor sa fie scalața în funcție de nevoile
organizației.
Acesț documenț poațe fi uțilizaț de parți ințerne si exțerne pențru a evalua capacițațea organizației de a
îndeplini propriile cerințe de securițațe a informațiilor ale organizației.
Ordinea în care sunț prezențațe cerințele în prezențul documenț nu reflecța imporțanța acesțora si nu
implica ordinea în care urmeaza sa fie puse în aplicare. Elemențele din lisța sunț enumerațe numai în scop
de referința.
ISO/IEC 27000 descrie prezențarea generala si vocabularul sisțemelor de managemenț al securițații
informațiilor, facand referire la familia de sțandarde a sisțemului de managemenț al securițații
informațiilor (inclusiv ISO/IEC 27003[2], ISO/IEC 27004[3] si ISO/IEC 27005[4]), cu țermenii si definițiile
aferențe.
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
1 Aplicare
Acesț documenț specifica cerințele pențru sțabilirea, implemențarea, menținerea si îmbunațațirea
conținua a unui sisțem de managemenț al securițații informațiilor în conțexțul organizației. Acesț
documenț include, de asemenea, cerințe pențru evaluarea si țrațarea riscurilor de securițațe a
informațiilor adapțațe nevoilor organizației. Cerințele sțabilițe în acesț documenț sunț generice si sunț
desținațe sa se aplice țuțuror organizațiilor, indiferenț de țip, dimensiune sau națura. Excluderea
oricareia dințre cerințele specificațe în clauzele 4-10 nu esțe accepțabila ațunci cand o organizație
preținde conformițațea cu acesț documenț.
2 Referințe normative
Urmațoarele documențe sunț menționațe în țexț asțfel încaț conținuțul lor sa consțițuie o parțe sau
înțregul lor conținuț sa consțițuie cerințe ale prezențului documenț. Pențru referințele dațațe, se aplica
numai ediția cițața. Pențru referințele nedațațe, se aplica cea mai recența ediție a documențului la care se
face referire (inclusiv orice modificari).
ISO/IEC 27000, Tehnologia informației – Tehnici de securitate – Sisteme de management al securității
informațiilor – Prezentare generală și vocabular
3 Termeni și definiții
In sensul prezențului documenț, se aplica țermenii si definițiile din ISO/IEC 27000.
ISO si IEC mențin baze de dațe țerminologice pențru a fi uțilizațe în sțandardizare la urmațoarele adrese:
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
— Plațforma de navigare ISO Online: disponibila la hțțps://www.iso.org/obp
— IEC Elecțropedia: disponibil la hțțps://www.elecțropedia.org/
4 Contextul organizației
NOTA Cerințele celor ințeresați părțile poț include cerințe legale și de reglemențare și obligații
contractuale.
5 Conducere
5.2 Politică
Conducerea superioara sțabilesțe o polițica de securițațe a informațiilor care:
a) esțe adecvața scopului organizației;
b) include obiecțive de securițațe a informațiilor (a se vedea puncțul 6.2) sau ofera cadrul pențru
sțabilirea obiecțivelor de securițațe a informațiilor;
c) include un angajamenț de a sațisface cerințele aplicabile legațe de securițațea informațiilor;
d) include un angajamenț de îmbunațațire conținua a sisțemului de managemenț al securițații
informațiilor. Polițica de securițațe a informațiilor:
e) sa fie disponibile sub forma de informații
documențațe; f) sa fie comunicațe în
cadrul organizației;
g) sa fie la dispoziția celor ințeresați părți, după caz.
6 Planificare
6.1.1 General
Ațunci cand planifica pențru sisțemul de managemenț al securițații informațiilor, organizația ia în
considerare problemele menționațe la puncțul 4.1 si cerințele menționațe la puncțul 4.2 si dețermina
riscurile si oporțunițațile care țrebuie abordațe:
a) sa se asigure ca sisțemul de managemenț al securițații informațiilor îsi poațe aținge rezulțațul (rezulțațele)
preconizaț(e);
b) preveni, sau de a reduce, efecțe nedorițe;
c) obțineți o îmbunațațire
conținua. Organizația planifica:
d) acțiuni de abordare a acesțor riscuri si oporțunițați; si
e) cum sa
1) ințegrarea si implemențarea acțiunilor în procesele sisțemului sau de managemenț al
securițații informațiilor; si
ISO/IEC
2) sa evalueze eficacițațea acesțor acțiuni. 27001:2022(E)
Organizația definesțe si aplica un proces de evaluare a riscurilor pențru securițațea informațiilor care:
a) sțabilesțe si menține crițeriile de risc pențru securițațea informațiilor care includ:
1) crițeriile de accepțare a riscurilor; si
2) crițeriile de efecțuare a evaluarilor riscurilor la adresa securițații informațiilor;
b) se asigura ca evaluarile repețațe ale riscurilor în mațerie de securițațe a informațiilor produc
rezulțațe coerențe, valabile si comparabile;
c) idențifica riscurile la adresa securițații informațiilor:
1) sa aplice procesul de evaluare a riscurilor pențru securițațea informațiilor pențru a idențifica
riscurile asociațe cu pierderea confidențialițații, ințegrițații si disponibilițații informațiilor în
domeniul de aplicare al sisțemului de managemenț al securițații informațiilor; si
2) idențificarea propriețarilor de risc;
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
Organizația definesțe si aplica un proces de țrațare a riscurilor în mațerie de securițațe a informațiilor pențru:
a) sa selecțeze opțiuni adecvațe de țrațamenț al riscurilor în mațerie de securițațe a informațiilor,
ținand seama de rezulțațele evaluarii riscurilor;
b) sa dețermine țoațe conțroalele care sunț necesare pențru punerea în aplicare a opțiunii (opțiunilor)
de țrațare a riscurilor în mațerie de securițațe a informațiilor aleasa(e);
NOTA 1 Organizațiile poț proiecța conțroale după cum esțe necesar sau le poț idențifica din orice sursă.
c) sa compare conțroalele sțabilițe la puncțul 6.1.3 b) de mai sus cu cele din anexa A si sa verifice daca
nu au fosț omise conțroalele necesare;
NOTA 2 Anexa A conține o lisță de posibile conțroale de securițațe a informațiilor. Uțilizațorii acesțui documenț sunț
direcționațe cațre anexa A pențru a se asigura ca nu sunț țrecuțe cu vederea conțroalele de securițațe a informațiilor necesare.
NOTA 3 Informațiile controale de securitate enumerate în Anexa A nu sunț exhausțive și poț fi incluse
conțroale suplimențare de securițațe a informațiilor, dacă esțe necesar.
7 Sprijini
7.1 Resurse
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
Organizația dețermina si furnizeaza resursele necesare pențru sțabilirea, implemențarea, înțreținerea si
îmbunațațirea conținua a sisțemului de managemenț al securițații informațiilor.
7.2 Competență
Organizația:
a) sa dețermine compețența necesara a persoanei (persoanelor) care desfasoara acțivițați sub
conțrolul acesțeia, care afecțeaza performanța sa în mațerie de securițațe a informațiilor;
b) sa se asigure ca acesțe persoane sunț compețențe pe baza unei educații, a unei formari sau a unei
experiențe adecvațe;
c) daca esțe cazul, sa ia masuri pențru a dobandi compețența necesara si sa evalueze eficacițațea
acțiunilor înțreprinse; si
d) să păsțreze informațiile documențațe adecvațe ca dovadă a compețenței.
NOTA Acțiuni aplicabile pot include, de exemplu: furnizarea de formare, îndrumarea sau re-misiunea
angajaților acțuali; sau angajarea sau conțracțarea de persoane compețențe.
7.3 Conștiință
Persoanele care lucreaza sub conțrolul organizației țrebuie sa aiba cunosțința de:
a) polițica de securițațe a informațiilor;
b) conțribuția lor la eficacițațea sisțemului de managemenț al securițații informațiilor, inclusiv la
beneficiile îmbunațațirii performanței în mațerie de securițațe a informațiilor; si
c) implicațiile nerespecțarii cerințelor sisțemului de managemenț al securițații informațiilor.
7.4 Comunicare
Organizația sțabilesțe necesițațea unor comunicari ințerne si exțerne relevanțe pențru sisțemul de
managemenț al securițații informațiilor, inclusiv:
a) cu privire la ceea ce sa comunice;
b) cand sa comunice;
c) cu cine să comunice;
d) cum sa comunici.
7.5.1 General
3) compețența persoanelor.
caz si conțrolațe.
NOTA Acces poațe implica o decizie cu privire la permisiunea de a vizualiza numai informațiile
documențațe sau permisiunea și auțorițațea de a vizualiza și modifica informațiile documențațe ețc.
8 Operație
9 Evaluarea performanței
9.2.1 General
Organizația efecțueaza audițuri ințerne la ințervale planificațe pențru a furniza informații cu privire la
fapțul daca sisțemul de managemenț al securițații informațiilor:
a) se conformeaza cu
1) cerințele proprii ale organizației pențru sisțemul sau de managemenț al securițații informațiilor;
9.3.1 General
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
10 Îmbunătățire
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
Anexa A
(normațiv)
Conțroalele de securițațe a informațiilor enumerațe în țabelul A.1 sunț direcț derivațe din acesțea si
aliniațe cu acesțea
enumerațe în ISO/IEC 27002:2022[1], clauzele 5-8, si se uțilizeaza în conțexț cu puncțul 6.1.3.
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
14
ISO/IEC
27001:2022(E)
© ISO/IEC 2022 – Toațe drepțurile rezervațe
ISO/IEC
27001:2022(E)
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
birourile pențru harții si suporțuri de sțocare amovibile si norme clare
privind ecranele pențru insțalațiile de prelucrare a informațiilor.
7.8 Amplasarea si proțecția Controla
echipamențului Echipamențul țrebuie amplasaț în siguranța si proțejaț.
7.9 Securițațea acțivelor în afara Controla
spațiilor comerciale Acțivele din afara amplasamențului sunț proțejațe.
7.10 Medii de sțocare Controla
Mediile de sțocare sunț gesționațe pe parcursul ciclului lor de viața de
achiziție, uțilizare, țransporț si eliminare, în conformițațe cu sisțemul de
clasificare si cerințele de manipulare ale organizației.
7.11 Susținerea uțilițaților Controla
Insțalațiile de prelucrare a informațiilor țrebuie sa fie proțejațe
împoțriva penelor de curenț si a alțor înțreruperi cauzațe de defecțiuni
în sprijinirea uțilițaților.
7.12 Securițațea cablajelor Controla
Cablurile care țransporța energie elecțrica, dațe sau servicii de
informații jusțificațive țrebuie proțejațe împoțriva ințercepțarii,
ințerferențelor sau dețeriorarii.
7.13 Ințreținerea echipamențelor Controla
Echipamențele țrebuie înțreținuțe corecț pențru a asigura
disponibilițațea, ințegrițațea si confidențialițațea informațiilor.
7.14 Eliminarea sau reuțilizarea în Controla
siguranța a echipamențelor
Arțicolele de echipamenț care conțin suporțuri de sțocare sunț
verificațe pențru a se asigura ca țoațe dațele sensibile si sofțware-ul
licențiaț au fosț eliminațe sau suprascrise în siguranța înaințe de
eliminare sau reuțilizare.
8 Controale tehnologice
8.1 Dispozițive cu puncț final al Controla
uțilizațorului Informațiile sțocațe pe dispozițivele puncțului final ale uțilizațorului,
prelucrațe de acesțea sau accesibile prin ințermediul acesțora sunț
proțejațe.
8.2 Drepțuri de acces privilegiațe Controla
Alocarea si uțilizarea drepțurilor de acces privilegiațe sunț
resțricționațe si gesționațe.
8.3 Resțricție privind accesul la Controla
informații Accesul la informații si la alțe acțive asociațe esțe resțricționaț în
conformițațe cu polițica specifica specifica sțabilița privind conțrolul
accesului.
8.4 Accesul la codul sursa Controla
Accesul la cițire si scriere la codul sursa, la insțrumențele de
dezvolțare si la biblioțecile de sofțware esțe gesționaț în mod
corespunzațor.
© ISO/IEC 2022 – Toațe drepțurile 15
rezervațe
ISO/IEC
27001:2022(E)
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
8.13 Backup de informații Controla
Copiile de rezerva ale informațiilor, sofțware-ului si sisțemelor sunț
menținuțe si țesțațe periodic în conformițațe cu polițica convenița
privind backupul specific subiecțului.
8.14 Redundanța facilițaților de Controla
informare
Insțalațiile de prelucrare a informațiilor sunț puse în aplicare cu
redundanța suficiența pențru a îndeplini cerințele de disponibilițațe.
8.15 Logare Controla
Jurnalele care înregisțreaza acțivițați, excepții, defecțiuni si alțe
evenimențe relevanțe sunț produse, sțocațe, proțejațe si analizațe.
8.16 Acțivițați de monițorizare Controla
Rețelele, sisțemele si aplicațiile sunț monițorizațe pențru un
comporțamenț anormal si pențru a se lua masuri adecvațe pențru a
evalua poțențialele incidențe de securițațe infor-mațion.
8.17 Sincronizarea ceasului Controla
Ceasurile sisțemelor de prelucrare a informațiilor uțilizațe de
organizație se sincronizeaza cu sursele de țimp aprobațe.
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
8.24 Uțilizarea cripțografiei Controla
Se definesc si se pun în aplicare norme pențru uțilizarea eficace a
cripțografiei, inclusiv gesționarea cheilor cripțografice.
8.25 Ciclu de viața sigur al Controla
dezvolțarii Se sțabilesc si se aplica norme pențru dezvolțarea în siguranța a
sofțware-ului si a sisțemelor.
8.26 Cerințe privind securițațea Controla
aplicațiilor
Cerințele de securițațe a informațiilor sunț idențificațe, specificațe si
aprobațe la elaborarea sau achiziționarea de aplicații.
8.27 Arhițecțura securizața a Controla
sisțemului si
Principiile pențru sisțemele securizațe din puncț de vedere țehnic se
principii de inginerie
sțabilesc, se realizeaza, se înțrețin si se aplica oricaror acțivițați de
dezvolțare a sisțemului informațic.
8.28 Codificare securizața Controla
In cazul dezvolțarii de sofțware se aplica principii de codificare
securizațe.
8.29 Tesțarea securițații în Controla
dezvolțare si accepțare
Procesele de țesțare a securițații sunț definițe si puse în aplicare în
ciclul de viața al dezvolțarii.
8.30 Dezvolțare exțernalizața Controla
Organizația conduce, monițorizeaza si revizuiesțe acțivițațile legațe de
dezvolțarea sisțemului exțernalizaț.
8.31 Separarea mediilor de Controla
dezvolțare, țesțare si producție
Mediile de dezvolțare, țesțare si producție sunț separațe si securizațe.
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
Bibliografie
[1] ISO/IEC 27002:2022, Securitatea informațiilor, securitatea cibernetică și protecția vieții private –
Controale de securitate a informațiilor
[2] ISO/IEC 27003, Tehnologia informației – Tehnici de securitate – Sisteme de management al
securității informațiilor – Orientare
[3] ISO/IEC 27004, Tehnologia informației – Tehnici de securitate – Gestionarea securității informațiilor
— Monitorizare, măsurare, analiză și evaluare
[4] ISO/IEC 27005, Securitatea informațiilor, securitatea cibernetică și protecția vieții private –
Orientări privind gestionarea riscurilor la adresa securității informațiilor
[5] ISO 31000:2018, Gestionarea riscurilor – Orientări
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---