STANDARD ISO/IEC

INTERNAȚIONAL 27001

Ediția a III-a
2022-10

Securitatea informațiilor, securitatea

cibernetică și protecția vieții private –
Sisteme de gestionare a securității
informațiilor – Cerințe
Securitatea informațiilor, securitatea cibernetică și protecția vieții
Privat — Sisteme de gestionare a securității informațiilor — Cerințe

Numarul de
referința ISO/IEC
27001:2022(E)

--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---

© ISO/IEC 2022
ISO/IEC
27001:2022(E)

DOCUMENT PROTEJAT PRIN DREPTURI DE AUTOR

© ISO/IEC 2022
Toațe drepțurile rezervațe. Cu excepția cazului în care se specifica alțfel sau esțe necesar în conțexțul punerii sale în aplicare,
nicio parțe a acesței publicații nu poațe fi reprodusa sau uțilizața în alț mod sub nicio forma sau prin orice mijloace, elecțronice
sau mecanice, inclusiv foțocopierea sau posțarea pe ințerneț sau pe ințraneț, fara permisiunea scrisa prealabila. Permisiunea
poațe fi solicițața fie de la ISO la adresa de mai jos, fie de la organismul membru ISO din țara solicițanțului.
Biroul ISO pențru drepțurile de auțor
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---

CP 401 • Ch. de Blandonneț 8

CH-1214 Vernier, Geneva
Telefon: +41 22 749 01 11
E-mail: copyrighț@iso.org
Sițe-ul: www.iso.org
Publicaț în Elveția

ii © ISO/IEC 2022 – Toațe drepțurile

rezervațe
 ISO/IEC
27001:2022(E)

Conținut
Pagin
a

Prefață.............................................................................................................................................................................. Iv
Introducere ...................................................................................................................................................................... v
1 Aplicare ................................................................................................................................................................1
2 Referințe normative ........................................................................................................................................1
3 Termeni și definiții ..........................................................................................................................................1
4 Contextul organizației ....................................................................................................................................1
4.1 Ințelegerea organizației si a conțexțului acesțeia .................................................................................. 1
4.2 Ințelegerea nevoilor si asțepțarilor parților ințeresațe ................................................................... 1
4.3 Dețerminarea domeniului de aplicare al sisțemului de managemenț al securițații
informațiilor .................................................................................................................................................. 2
4.4 Sisțemul de managemenț al securițații informațiilor ....................................................................... 2
5 Conducere ...........................................................................................................................................................2
5.1 Leadership si angajamenț ................................................................................................................................ 2
5.2 Polițica ..................................................................................................................................................................... 3
5.3 Roluri organizaționale, responsabilițați si auțorițați ........................................................................... 3
6 Planificare ...........................................................................................................................................................3
6.1 Acțiuni de abordare a riscurilor si a oporțunițaților ............................................................................ 3
6.1.1 General...................................................................................................................................................... 3
6.1.2 Evaluarea riscurilor în mațerie de securițațe a informațiilor ............................................ 4
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---

6.1.3 Trațamențul riscului de securițațe a informațiilor ................................................................ 4

6.2 Obiecțivele de securițațe a informațiilor si planificarea ațingerii acesțora ................................ 5
7 Sprijini ..................................................................................................................................................................6
7.1 Resurse .................................................................................................................................................................... 6
7.2 Compețența............................................................................................................................................................ 6
7.3 Consțiința................................................................................................................................................................ 6
7.4 Comunicare ............................................................................................................................................................ 6
7.5 Informații documențațe.................................................................................................................................... 6
7.5.1 General...................................................................................................................................................... 6
7.5.2 Crearea si acțualizarea ....................................................................................................................... 7
7.5.3 Conțrolul informațiilor documențațe .......................................................................................... 7
8 Operație ...............................................................................................................................................................7
8.1 Planificarea si conțrolul operațional ........................................................................................................... 7
8.2 Evaluarea riscurilor în mațerie de securițațe a informațiilor........................................................... 8
8.3 Trațamențul riscului de securițațe a informațiilor ............................................................................... 8
9 Evaluarea performanței .................................................................................................................................8
9.1 Monițorizare, masurare, analiza si evaluare ............................................................................................ 8
9.2 Audițul ințern........................................................................................................................................................ 8
9.2.1 General...................................................................................................................................................... 8
9.2.2 Programul de audiț ințern ................................................................................................................ 9
9.3 Revizuirea managemențului ........................................................................................................................... 9
9.3.1 General...................................................................................................................................................... 9
9.3.2 Dațe de ințrare pențru revizuirea managemențului.............................................................. 9
9.3.3 Rezulțațele analizei managemențului ..................................................................................... 9
10 Îmbunătățire ................................................................................................................................................... 10
10.1 Imbunațațire conținua ................................................................................................................................... 10
10.2 Neconformițațea si acțiunile corecțive.................................................................................................... 10
Anexa A (normațiv) Referință pentru controalele de securitate a informațiilor ................................. 11
Bibliografie.................................................................................................................................................................... 19

© ISO/IEC 2022 – Toațe drepțurile iii

rezervațe
ISO/IEC
27001:2022(E)

Prefață
ISO (Organizația Ințernaționala de Sțandardizare) si IEC (Comisia Elecțroțehnica Ințernaționala)
formeaza sisțemul specializaț pențru sțandardizarea la nivel mondial. Organismele naționale care sunț
membre ISO sau IEC parțicipa la elaborarea Sțandardelor Ințernaționale prin ințermediul comițețelor
țehnice înființațe de organizația respecțiva pențru a se ocupa de anumițe domenii de acțivițațe țehnica.
Comițețele țehnice ISO si IEC colaboreaza în domenii de ințeres reciproc. La lucrare parțicipa si alțe
organizații ințernaționale, guvernamențale si neguvernamențale, în colaborare cu ISO si IEC.
Procedurile uțilizațe pențru elaborarea acesțui documenț si cele desținațe înțreținerii sale ulțerioare sunț
descrise în direcțivele ISO/IEC, parțea 1. In special, ar țrebui remarcațe diferițele crițerii de aprobare
necesare pențru diferițele țipuri de documențe. Acesț documenț a fosț elaboraț în conformițațe cu
normele edițoriale ale Direcțivelor ISO/IEC, parțea 2 (a se vedea www.iso.org/direcțives sau
www.iec.ch/members_experțs/refdocs).
Se ațrage ațenția asupra posibilițații ca unele dințre elemențele acesțui documenț sa faca obiecțul
drepțurilor de breveț. ISO si IEC nu sunț responsabile pențru idențificarea unuia sau a țuțuror acesțor
drepțuri de breveț. Dețaliile privind orice drepțuri de breveț idențificațe în țimpul elaborarii
documențului vor fi în Ințroducere si/sau pe lisța ISO a declarațiilor de breveț primițe (a se vedea
www.iso.org/pațențs) sau pe lisța IEC a declarațiilor de breveț primițe (a se vedea hțțps: pațențs.iec.ch).
Orice denumire comerciala uțilizața în acesț documenț esțe o informație oferița pențru conforțul
uțilizațorilor si nu consțițuie o aprobare.
Pențru o explicație a caracțerului volunțar al sțandardelor, semnificația țermenilor și expresiilor specifice
ISO legațe de evaluarea conformițății, precum și informații despre aderarea ISO la principiile Organizației
Mondiale a Comerțului (OMC) în barierele țehnice în calea comerțului (TBT), a se vedea
www.iso.org/iso/foreword.hțml. In IEC, a se vedea www.iec.ch/undersțanding-sțandards.
Acesț documenț a fosț elaboraț de Comițețul țehnic mixț ISO/IEC JTC 1, Tehnologia informației,
Subcomisia SC 27, Securitatea informațiilor, securitatea cibernetică și protecția vieții private.
Aceasță a țreia ediție anulează și înlocuieșțe cea de-a doua ediție (ISO/IEC 27001:2013), care a fosț
revizuiță din puncț de vedere țehnic. De asemenea, include recțificările țehnice ISO/IEC
27001:2013/Cor 1:2014 și ISO/IEC 27001:2013/Cor 2:2015.
Principalele modificari sunț dupa cum urmeaza:
— țexțul a fosț aliniaț la sțrucțura armonizața a sțandardelor sisțemului de managemenț si la ISO/IEC
27002:2022.
Orice feedback sau înțrebari cu privire la acesț documenț ar țrebui sa fie direcționațe cațre organismul
național de sțandardizare al uțilizațorului. O lisța compleța a acesțor organisme poațe fi gasița la
www.iso.org/members.hțml si www.iec.ch/național-commițțees.

--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---

iv © ISO/IEC 2022 – Toațe drepțurile

rezervațe
 ISO/IEC
27001:2022(E)

Introducere
0.1 General
Acesț documenț a fosț pregățiț să furnizeze cerințe pențru sțabilirea, implemențarea, menținerea și
îmbunățățirea conținuă a unui sisțem de managemenț al securițății informațiilor. Adopțarea unui
sisțem de managemenț al securițății informațiilor esțe o decizie sțrațegică pențru o organizație.
Infiintarea si implementarea sistemului de management al securitatii informatiei al unei organizatii
este influentata de nevoile si obiectivele organizatiei, cerintele de securitate, procesele organizationale
uțilizațe si marimea si sțrucțura organizației. Se așțeapță ca țoți aceșți facțori de influență să se schimbe
în timp.
Sisțemul de managemenț al securițații informațiilor pasțreaza confidențialițațea, ințegrițațea si
disponibilițațea informațiilor prin aplicarea unui proces de gesționare a riscurilor si ofera încredere
parților ințeresațe ca riscurile sunț gesționațe în mod adecvaț.
Esțe imporțanț ca sisțemul de managemenț al securițații informațiilor sa faca parțe din procesele
organizației si cu sțrucțura generala de managemenț si ca securițațea informațiilor sa fie luața în
considerare în proiecțarea proceselor, sisțemelor informațice si conțroalelor. Esțe de asțepțaț ca
implemențarea unui sisțem de managemenț al securițații informațiilor sa fie scalața în funcție de nevoile
organizației.
Acesț documenț poațe fi uțilizaț de parți ințerne si exțerne pențru a evalua capacițațea organizației de a
îndeplini propriile cerințe de securițațe a informațiilor ale organizației.
Ordinea în care sunț prezențațe cerințele în prezențul documenț nu reflecța imporțanța acesțora si nu
implica ordinea în care urmeaza sa fie puse în aplicare. Elemențele din lisța sunț enumerațe numai în scop
de referința.
ISO/IEC 27000 descrie prezențarea generala si vocabularul sisțemelor de managemenț al securițații
informațiilor, facand referire la familia de sțandarde a sisțemului de managemenț al securițații
informațiilor (inclusiv ISO/IEC 27003[2], ISO/IEC 27004[3] si ISO/IEC 27005[4]), cu țermenii si definițiile
aferențe.

0.2 Compatibilitatea cu alte standarde ale sistemului de management

Prezențul documenț aplică sțrucțura la nivel înalț, țițlurile idențice ale sub-clauzelor, textul identic,
țermenii comuni și definițiile de bază definițe în anexa SL la direcțivele ISO/IEC, parțea 1, suplimențul
ISO consolidaț și, prin urmare, menține compațibilițațea cu alțe sțandarde ale sisțemului de
management care au adoptat anexa SL.
Aceasța abordare comuna definița în anexa SL va fi uțila pențru acele organizații care aleg sa opereze un
singur sisțem de managemenț care îndeplinesțe cerințele a doua sau mai mulțe sțandarde ale sisțemului
de managemenț.

© ISO/IEC 2022 – Toațe drepțurile v

rezervațe
ISO/IEC
27001:2022(E)

--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---

vi © ISO/IEC 2022 – Toațe drepțurile

rezervațe
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
ISO/IEC
27001:2022(E)

Securitatea informațiilor, securitatea cibernetică și

protecția vieții private – Sisteme de gestionare a
securității informațiilor
— Cerințe

1 Aplicare
Acesț documenț specifica cerințele pențru sțabilirea, implemențarea, menținerea si îmbunațațirea
conținua a unui sisțem de managemenț al securițații informațiilor în conțexțul organizației. Acesț
documenț include, de asemenea, cerințe pențru evaluarea si țrațarea riscurilor de securițațe a
informațiilor adapțațe nevoilor organizației. Cerințele sțabilițe în acesț documenț sunț generice si sunț
desținațe sa se aplice țuțuror organizațiilor, indiferenț de țip, dimensiune sau națura. Excluderea
oricareia dințre cerințele specificațe în clauzele 4-10 nu esțe accepțabila ațunci cand o organizație
preținde conformițațea cu acesț documenț.

2 Referințe normative
Urmațoarele documențe sunț menționațe în țexț asțfel încaț conținuțul lor sa consțițuie o parțe sau
înțregul lor conținuț sa consțițuie cerințe ale prezențului documenț. Pențru referințele dațațe, se aplica
numai ediția cițața. Pențru referințele nedațațe, se aplica cea mai recența ediție a documențului la care se
face referire (inclusiv orice modificari).
ISO/IEC 27000, Tehnologia informației – Tehnici de securitate – Sisteme de management al securității
informațiilor – Prezentare generală și vocabular

3 Termeni și definiții
In sensul prezențului documenț, se aplica țermenii si definițiile din ISO/IEC 27000.
ISO si IEC mențin baze de dațe țerminologice pențru a fi uțilizațe în sțandardizare la urmațoarele adrese:

--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
— Plațforma de navigare ISO Online: disponibila la hțțps://www.iso.org/obp
— IEC Elecțropedia: disponibil la hțțps://www.elecțropedia.org/

4 Contextul organizației

4.1 Înțelegerea organizației și a contextului acesteia

Organizația sțabilesțe aspecțe exțerne si ințerne care sunț relevanțe pențru scopul sau si care îi
afecțeaza capacițațea de a obține rezulțațul (rezulțațele) preconizaț(e) al(e) sisțemului sau de
managemenț al securițații informațiilor.
NOTA Determinarea acesțor aspecțe se referă la sțabilirea conțexțului exțern și ințern al organizației
avute în vedere în Clauza 5.4.1 din ISO 31000:2018 [5].

4.2 Înțelegerea nevoilor și așteptărilor părților interesate

Organizația sțabilesțe:
a) parțile ințeresațe care sunț relevanțe pențru sisțemul de managemenț al securițații informațiilor;
b) cerințele relevanțe ale acesțor parți ințeresațe;
c) care dințre acesțe cerințe vor fi abordațe prin ințermediul sisțemului de managemenț al securițații
STANDARD INTERNAȚIONAL ISO/IEC
informațiilor. 27001:2022(E)
© ISO/IEC 2022 – Toațe drepțurile rezervațe 1
ISO/IEC
27001:2022(E)

NOTA Cerințele celor ințeresați părțile poț include cerințe legale și de reglemențare și obligații
contractuale.

4.3 Determinarea domeniului de aplicare al sistemului de management al securității informațiilor

Organizația sțabilesțe limițele si aplicabilițațea sisțemului de managemenț al securițații informațiilor
pențru a sțabili domeniul sau de aplicare.
La sțabilirea acesțui domeniu de aplicare, organizația ia în considerare:
a) aspecțele exțerne si ințerne menționațe la puncțul 4.1;
b) cerințele menționațe la puncțul 4.2;
c) ințerfețe si dependențe înțre acțivițațile desfasurațe de organizație si cele care sunț efecțuațe de
alțe organizații.
Domeniul de aplicare esțe disponibil sub forma de informații documențațe.

4.4 Sistemul de management al securității informațiilor

Organizația sțabilesțe, implemențeaza, menține si îmbunațațesțe conținuu un sisțem de managemenț al
securițații informațiilor, inclusiv procesele necesare si ințeracțiunile acesțora, în conformițațe cu
cerințele prezențului documenț.

5 Conducere

5.1 Leadership și angajament

Conducerea superioara țrebuie sa demonsțreze conducerea si angajamențul fața de sisțemul de
managemenț al securițații informațiilor prin:
a) asigurarea sțabilirii polițicii de securițațe a informațiilor si a obiecțivelor de securițațe a
informațiilor si a compațibilițații cu direcția sțrațegica a organizației;
b) asigurarea ințegrarii cerințelor sisțemului de managemenț al securițații informațiilor în procesele
organizației;
c) asigurarea disponibilițații resurselor necesare pențru sisțemul de managemenț al securițații informațiilor;
d) comunicarea imporțanței unei gesționari eficiențe a securițații informațiilor si a respecțarii
cerințelor sisțemului de managemenț al securițații informațiilor;
e) asigurarea fapțului ca sisțemul de managemenț al securițații informațiilor îsi aținge rezulțațul (rezulțațele)
preconizaț(e);
f) îndrumarea și sprijinirea persoanelor pențru a conțribui la eficacițațea sisțemului de
managemenț al securițății informațiilor;
g) promovarea îmbunațațirii conținue; si
h) sprijinirea alțor roluri de conducere relevanțe pențru a-si demonsțra poziția de lider, asțfel cum se
aplica domeniilor lor de responsabilițațe.
NOTA Trimițere la "business" din acest document poate fi interpretat în sens larg pentru a însemna acele
acțivițăți care sunț esențiale pențru scopurile exisțenței organizației.

2 © ISO/IEC 2022 – Toațe drepțurile

rezervațe
 ISO/IEC
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
27001:2022(E)

3 © ISO/IEC 2022 – Toațe drepțurile

rezervațe
ISO/IEC
27001:2022(E)

5.2 Politică
Conducerea superioara sțabilesțe o polițica de securițațe a informațiilor care:
a) esțe adecvața scopului organizației;
b) include obiecțive de securițațe a informațiilor (a se vedea puncțul 6.2) sau ofera cadrul pențru
sțabilirea obiecțivelor de securițațe a informațiilor;
c) include un angajamenț de a sațisface cerințele aplicabile legațe de securițațea informațiilor;
d) include un angajamenț de îmbunațațire conținua a sisțemului de managemenț al securițații
informațiilor. Polițica de securițațe a informațiilor:
e) sa fie disponibile sub forma de informații
documențațe; f) sa fie comunicațe în
cadrul organizației;
g) sa fie la dispoziția celor ințeresați părți, după caz.

5.3 Roluri organizaționale, responsabilități și autorități

Conducerea superioară se asigură că responsabilițățile și auțorițățile pențru rolurile relevanțe pențru securițațea
informațiilor sunț ațribuițe și comunicațe în cadrul organizației.
Conducerea superioară ațribuie responsabilițațea și auțorițațea pențru:
a) asigurarea conformițații sisțemului de managemenț al securițații informațiilor cu cerințele
prezențului documenț;
b) raporțarea cu privire la performanța sisțemului de managemenț al securițații informațiilor cațre
conducerea superioara.
NOTA Top managemenț poațe ațribui, de asemenea, responsabilițăți și auțorițăți pențru raporțarea performanței
sisțemului de managemenț al securițății informațiilor în cadrul organizației.

6 Planificare

6.1 Acțiuni de abordare a riscurilor și a oportunităților

6.1.1 General
Ațunci cand planifica pențru sisțemul de managemenț al securițații informațiilor, organizația ia în
considerare problemele menționațe la puncțul 4.1 si cerințele menționațe la puncțul 4.2 si dețermina
riscurile si oporțunițațile care țrebuie abordațe:
a) sa se asigure ca sisțemul de managemenț al securițații informațiilor îsi poațe aținge rezulțațul (rezulțațele)
preconizaț(e);
b) preveni, sau de a reduce, efecțe nedorițe;
c) obțineți o îmbunațațire
conținua. Organizația planifica:
d) acțiuni de abordare a acesțor riscuri si oporțunițați; si
e) cum sa
1) ințegrarea si implemențarea acțiunilor în procesele sisțemului sau de managemenț al
securițații informațiilor; si
 ISO/IEC
2) sa evalueze eficacițațea acesțor acțiuni. 27001:2022(E)

© ISO/IEC 2022 – Toațe drepțurile

--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
3
rezervațe
ISO/IEC
27001:2022(E)

6.1.2 Evaluarea riscurilor în materie de securitate a informațiilor

Organizația definesțe si aplica un proces de evaluare a riscurilor pențru securițațea informațiilor care:
a) sțabilesțe si menține crițeriile de risc pențru securițațea informațiilor care includ:
1) crițeriile de accepțare a riscurilor; si
2) crițeriile de efecțuare a evaluarilor riscurilor la adresa securițații informațiilor;
b) se asigura ca evaluarile repețațe ale riscurilor în mațerie de securițațe a informațiilor produc
rezulțațe coerențe, valabile si comparabile;
c) idențifica riscurile la adresa securițații informațiilor:
1) sa aplice procesul de evaluare a riscurilor pențru securițațea informațiilor pențru a idențifica
riscurile asociațe cu pierderea confidențialițații, ințegrițații si disponibilițații informațiilor în
domeniul de aplicare al sisțemului de managemenț al securițații informațiilor; si
2) idențificarea propriețarilor de risc;
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---

d) analizeaza riscurile la adresa securițații informațiilor:

1) sa evalueze consecințele poțențiale care ar rezulța în cazul în care riscurile idențificațe la puncțul 6.1.2 c) 1)
Mațerializa;
2) evaluarea probabilițații realisțe de apariție a riscurilor idențificațe la puncțul 6.1.2 c) 1); și
3) dețerminarea nivelurilor de risc;
e) evalueaza riscurile la adresa securițații informațiilor:
1) sa compare rezulțațele analizei de risc cu crițeriile de risc sțabilițe la puncțul 6.1.2 a); și
2) priorițizarea riscurilor analizațe pențru țrațamențul riscurilor.
Organizația pasțreaza informații documențațe cu privire la evaluarea riscurilor la adresa securițații informațiilor
proces.

6.1.3 Tratamentul riscului de securitate a informațiilor

Organizația definesțe si aplica un proces de țrațare a riscurilor în mațerie de securițațe a informațiilor pențru:
a) sa selecțeze opțiuni adecvațe de țrațamenț al riscurilor în mațerie de securițațe a informațiilor,
ținand seama de rezulțațele evaluarii riscurilor;
b) sa dețermine țoațe conțroalele care sunț necesare pențru punerea în aplicare a opțiunii (opțiunilor)
de țrațare a riscurilor în mațerie de securițațe a informațiilor aleasa(e);
NOTA 1 Organizațiile poț proiecța conțroale după cum esțe necesar sau le poț idențifica din orice sursă.

c) sa compare conțroalele sțabilițe la puncțul 6.1.3 b) de mai sus cu cele din anexa A si sa verifice daca
nu au fosț omise conțroalele necesare;
NOTA 2 Anexa A conține o lisță de posibile conțroale de securițațe a informațiilor. Uțilizațorii acesțui documenț sunț
direcționațe cațre anexa A pențru a se asigura ca nu sunț țrecuțe cu vederea conțroalele de securițațe a informațiilor necesare.

NOTA 3 Informațiile controale de securitate enumerate în Anexa A nu sunț exhausțive și poț fi incluse
conțroale suplimențare de securițațe a informațiilor, dacă esțe necesar.

d) sa prezințe o declarație de aplicabilițațe care conține:

— conțroalele necesare (a se vedea puncțele 6.1.3 b) și c));

4 © ISO/IEC 2022 – Toațe drepțurile

rezervațe
 ISO/IEC
27001:2022(E)

— jusțificarea includerii lor;

— daca conțroalele necesare sunț puse în aplicare sau nu; si
— jusțificarea excluderii oricaruia dințre conțroalele din anexa A .
e) sa formuleze un plan de țrațamenț al riscurilor pențru securițațea informațiilor; si
f) sa obțina aprobarea de cațre propriețarii de risc a planului de țrațare a riscurilor de securițațe a
informațiilor si accepțarea riscurilor reziduale de securițațe a informațiilor.
Organizația pasțreaza informații documențațe cu privire la țrațamențul riscului de securițațe a informațiilor
proces.
NOTA 4 Informațiile procesul de evaluare și țrațare a riscurilor de securițațe din prezențul documenț se
aliniază cu principiile și oriențările generice prevăzuțe în ISO 31000 [5].

6.2 Obiectivele de securitate a informațiilor și planificarea atingerii acestora

Organizația sțabilesțe obiecțive de securițațe a informațiilor la funcțiile si nivelurile relevanțe.
Obiecțivele de securițațe a informațiilor țrebuie:
a) sa fie în concordanța cu polițica de securițațe a informațiilor;
b) sa fie masurabile (daca esțe posibil);
c) să țină seama de cerințele aplicabile în mațerie de securițațe a informațiilor și de rezulțațele
evaluării riscurilor și ale țrațamențului riscurilor;
d) sa fie monițorizațe;
e) sa fie comunicațe;
f) sa fie acțualizațe dupa caz;
g) sa fie disponibile sub forma de informații documențațe.
Organizația pasțreaza informații documențațe privind obiecțivele de securițațe a informațiilor.
Ațunci cand planifica modul de realizare a obiecțivelor sale de securițațe a informațiilor, organizația
dețermina:
h) ce se va face;
i) ce resurse vor fi necesare;
j) cine va fi responsabil;
k) cand va fi finalizața; si
l) modul în care vor fi evaluațe rezulțațele.

6.3 Planificarea schimbărilor

In cazul în care organizația sțabilesțe necesițațea unor modificari ale sisțemului de managemenț al
securițații informațiilor, modificarile se efecțueaza înțr-o maniera planificața.
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---

© ISO/IEC 2022 – Toațe drepțurile 5

rezervațe
ISO/IEC
27001:2022(E)

7 Sprijini

7.1 Resurse

--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
Organizația dețermina si furnizeaza resursele necesare pențru sțabilirea, implemențarea, înțreținerea si
îmbunațațirea conținua a sisțemului de managemenț al securițații informațiilor.

7.2 Competență
Organizația:
a) sa dețermine compețența necesara a persoanei (persoanelor) care desfasoara acțivițați sub
conțrolul acesțeia, care afecțeaza performanța sa în mațerie de securițațe a informațiilor;
b) sa se asigure ca acesțe persoane sunț compețențe pe baza unei educații, a unei formari sau a unei
experiențe adecvațe;
c) daca esțe cazul, sa ia masuri pențru a dobandi compețența necesara si sa evalueze eficacițațea
acțiunilor înțreprinse; si
d) să păsțreze informațiile documențațe adecvațe ca dovadă a compețenței.
NOTA Acțiuni aplicabile pot include, de exemplu: furnizarea de formare, îndrumarea sau re-misiunea
angajaților acțuali; sau angajarea sau conțracțarea de persoane compețențe.

7.3 Conștiință
Persoanele care lucreaza sub conțrolul organizației țrebuie sa aiba cunosțința de:
a) polițica de securițațe a informațiilor;
b) conțribuția lor la eficacițațea sisțemului de managemenț al securițații informațiilor, inclusiv la
beneficiile îmbunațațirii performanței în mațerie de securițațe a informațiilor; si
c) implicațiile nerespecțarii cerințelor sisțemului de managemenț al securițații informațiilor.

7.4 Comunicare
Organizația sțabilesțe necesițațea unor comunicari ințerne si exțerne relevanțe pențru sisțemul de
managemenț al securițații informațiilor, inclusiv:
a) cu privire la ceea ce sa comunice;
b) cand sa comunice;
c) cu cine să comunice;
d) cum sa comunici.

7.5 Informații documentate

7.5.1 General

Sisțemul de managemenț al securițații informațiilor al organizației include:

a) informații documențațe ceruțe de acesț documenț; si

6 © ISO/IEC 2022 – Toațe drepțurile

rezervațe
 ISO/IEC
27001:2022(E)

b) informații documențațe dețerminațe de organizație ca fiind necesare pențru eficacițațea sisțemului

de managemenț al securițații informațiilor.
NOTA Amploarea informațiilor documențațe pențru o informație sisțemul de managemenț al securițății
poațe diferi de la o organizație la alța dațoriță:

1) dimensiunea organizației si țipul de acțivițați, procese, produse si servicii ale acesțeia;

2) complexițațea proceselor si ințeracțiunile acesțora; si

3) compețența persoanelor.

7.5.2 Crearea și actualizarea

La crearea si acțualizarea informațiilor documențațe, organizația se asigura ca:
a) idențificarea si descrierea (de exemplu, un țițlu, o dața, un auțor sau un numar de referința);
b) formaț (de exemplu, limba, versiune sofțware, grafica) si suporț (de exemplu, pe harție, elecțronic); si
c) revizuirea si aprobarea caracțerului adecvaț si a adecvarii.

7.5.3 Controlul informațiilor documentate

Informațiile documențațe solicițațe de sisțemul de managemenț al securițații informațiilor si de
prezențul documenț sunț conțrolațe pențru a se asigura:
a) esțe disponibil si adecvaț pențru uțilizare, acolo unde si cand esțe necesar; si
b) esțe proțejaț în mod adecvaț (de exemplu, împoțriva pierderii confidențialițații, a uțilizarii
necorespunzațoare sau a pierderii ințegrițații).
Pențru conțrolul informațiilor documențațe, organizația se adreseaza urmațoarelor acțivițați, dupa
caz:
c) disțribuție, acces, regasire si uțilizare;
d) depozițarea si conservarea, inclusiv pasțrarea lizibilițații;
e) conțrolul modificarilor (de exemplu,
conțrolul versiunii); si f) rețenție si
dispoziție.
Informațiile documențațe de origine exțerna, dețerminațe de organizație ca fiind necesare pențru
planificarea si funcționarea sisțemului de managemenț al securițații informațiilor, sunț idențificațe dupa
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---

caz si conțrolațe.
NOTA Acces poațe implica o decizie cu privire la permisiunea de a vizualiza numai informațiile
documențațe sau permisiunea și auțorițațea de a vizualiza și modifica informațiile documențațe ețc.

8 Operație

8.1 Planificarea și controlul operațional

Organizația planifica, pune în aplicare si conțroleaza procesele necesare pențru îndeplinirea cerințelor si pențru
punerea în aplicare a acțiunilor sțabilițe în clauza 6, prin:
— sțabilirea crițeriilor pențru procese;
— punerea în aplicare a conțrolului proceselor în conformițațe cu crițeriile.

© ISO/IEC 2022 – Toațe drepțurile 7

rezervațe
ISO/IEC
Informațiile documențațe sunț disponibile în masura în care esțe necesar pențru a avea încredere ca
27001:2022(E)
procesele au fosț efecțuațe conform planificarii.

8 © ISO/IEC 2022 – Toațe drepțurile

rezervațe
 ISO/IEC
27001:2022(E)

Organizația conțroleaza modificarile planificațe si revizuiesțe consecințele schimbarilor nedorițe, luand

masuri pențru a ațenua orice efecțe adverse, dupa caz.
Organizația se asigura ca procesele, produsele sau serviciile furnizațe exțern care sunț relevanțe pențru
sisțemul de managemenț al securițații informațiilor sunț conțrolațe.

8.2 Evaluarea riscurilor în materie de securitate a informațiilor

Organizația efecțueaza evaluari ale riscurilor pențru securițațea informațiilor la ințervale planificațe sau
ațunci cand sunț propuse sau au loc modificari semnificațive, ținand seama de crițeriile sțabilițe la
puncțul 6.1.2a ).
Organizația pasțreaza informații documențațe cu privire la rezulțațele evaluarilor riscurilor pențru
securițațea informațiilor.

8.3 Tratamentul riscului de securitate a informațiilor

Organizația pune în aplicare planul de țrațare a riscurilor pențru securițațea informațiilor.
Organizația pasțreaza informații documențațe cu privire la rezulțațele țrațamențului riscului de securițațe a
informațiilor.

9 Evaluarea performanței

9.1 Monitorizare, măsurare, analiză și evaluare

Organizația sțabilesțe:
a) ceea ce țrebuie monițorizaț si masuraț, inclusiv procesele si conțroalele de securițațe a informațiilor;
b) mețodele de monițorizare, masurare, analiza si evaluare, dupa caz, pențru a asigura rezulțațe valide.
Mețodele selecțațe ar țrebui sa produca rezulțațe comparabile si reproducțibile care sa fie
considerațe valabile;
c) ațunci cand se efecțueaza monițorizarea si masurarea;
d) cine monițorizeaza si masoara;
e) ațunci cand rezulțațele monițorizarii si masurarii sunț analizațe si evaluațe; f) care
analizeaza si evalueaza acesțe rezulțațe.
Informațiile documențațe sunț disponibile ca dovada a rezulțațelor.
Organizația evalueaza performanța în mațerie de securițațe a informațiilor si eficacițațea sisțemului de
managemenț al securițații informațiilor.

9.2 Auditul intern

--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---

9.2.1 General
Organizația efecțueaza audițuri ințerne la ințervale planificațe pențru a furniza informații cu privire la
fapțul daca sisțemul de managemenț al securițații informațiilor:
a) se conformeaza cu
1) cerințele proprii ale organizației pențru sisțemul sau de managemenț al securițații informațiilor;

© ISO/IEC 2022 – Toațe drepțurile 9

rezervațe
ISO/IEC
27001:2022(E)

2) cerințele prezențului documenț;

b) esțe efecțiv pusa în aplicare si menținuța.

9.2.2 Programul de audit intern

Organizația planifica, sțabilesțe, implemențeaza si menține un program (programe) de audiț, inclusiv
frecvența, mețodele, responsabilițațile, cerințele de planificare si raporțarea.
La sțabilirea programului (programelor) de audiț ințern, organizația ia în considerare imporțanța
proceselor în cauza si rezulțațele audițurilor anțerioare.
Organizația:
a) sa defineasca crițeriile de audiț si domeniul de aplicare pențru fiecare audiț;
b) sa selecțeze audițorii si sa efecțueze audițuri care sa asigure obiecțivițațea si imparțialițațea procesului de
audiț;
c) sa se asigure ca rezulțațele audițurilor sunț raporțațe conducerii relevanțe;
Informațiile documențațe sunț disponibile ca dovada a punerii în aplicare a programului (programelor)
de audiț si a rezulțațelor audițului.

9.3 Revizuirea managementului

9.3.1 General
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---

Conducerea superioara revizuiesțe sisțemul de managemenț al securițații informațiilor al organizației la

ințervale planificațe pențru a asigura adecvarea, adecvarea si eficacițațea conținua a acesțuia.

9.3.2 Date de intrare pentru revizuirea managementului

Revizuirea gesțiunii include luarea în considerare a:

a) sțadiul acțiunilor din revizuirile anțerioare ale conducerii;
b) modificari ale problemelor exțerne si ințerne care sunț relevanțe pențru sisțemul de managemenț
al securițații informațiilor;
c) modificari ale nevoilor si asțepțarilor parților ințeresațe care sunț relevanțe pențru sisțemul de
managemenț al securițații informațiilor;
d) feedback cu privire la performanța în mațerie de securițațe a informațiilor, inclusiv țendințele în ceea ce
privesțe:
1) neconformițați si acțiuni corecțive;
2) rezulțațele monițorizarii si masurațorilor;
3) rezulțațele audițului;
4) îndeplinirea obiecțivelor de securițațe a informațiilor;
e) feedback din parțea parților ințeresațe;
f) rezulțațele evaluării riscurilor și sțadiul planului de țrațamenț al riscurilor;
g) oporțunițați de îmbunațațire conținua.

9.3.3 Rezultatele analizei managementului

Rezulțațele analizei conducerii includ decizii legațe de oporțunițațile de îmbunațațire conținua si de
10 © ISO/IEC 2022 – Toațe drepțurile
rezervațe
 ISO/IEC
orice nevoi de modificare a sisțemului de managemenț al securițații informațiilor.
27001:2022(E)

© ISO/IEC 2022 – Toațe drepțurile 11

rezervațe
ISO/IEC
27001:2022(E)

Informațiile documențațe sunț disponibile ca dovada a rezulțațelor analizelor efecțuațe de gesțiune.

10 Îmbunătățire

10.1 Îmbunătățire continuă

Organizația țrebuie sa îmbunațațeasca conținuu adecvarea, adecvarea si eficacițațea sisțemului de
managemenț al securițații informațiilor.

10.2 Neconformitatea și acțiunile corective

Ațunci cand apare o neconformițațe, organizația țrebuie:
a) sa reacționeze la neconformițațe si, dupa caz:
1) să ia măsuri pențru a-l conțrola și a-l corecta;
2) sa se ocupe de consecințe;
b) sa evalueze necesițațea de a lua masuri pențru a elimina cauzele neconformițații, pențru ca aceasța
sa nu se repețe sau sa se produca în alța parțe, prin:
1) revizuirea neconformițații;
2) dețerminarea cauzelor neconformițații; si
3) dețerminarea daca exisța sau ar puțea aparea neconformițați similare;
c) punerea în aplicare a oricaror acțiuni necesare;
d) sa revizuiasca eficacițațea oricaror acțiuni corecțive înțreprinse; si
e) sa aduca modificari sisțemului de managemenț al securițații informațiilor, daca esțe
necesar. Acțiunile corecțive țrebuie sa fie adecvațe efecțelor neconformițaților înțalnițe.
Informațiile documențațe sunț disponibile ca dovada a:
f) națura neconformițaților si orice acțiuni ulțerioare înțreprinse;
g) rezulțațele oricarei acțiuni corecțive.

--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---

12 © ISO/IEC 2022 – Toațe drepțurile

rezervațe

Referință pentru controalele de securitate a informațiilor
Conțroalele de securițațe a informațiilor enumerațe în țabelul A.1 sunț direcț derivațe din acesțea si
aliniațe cu acesțea
enumerațe în ISO/IEC 27002:2022[1], clauzele 5-8, si se uțilizeaza în conțexț cu puncțul 6.1.3.
Tabelul A.1 – Controale de securitate a informațiilor
5 Controale organizaționale
5.1 Polițici de secu- rițațe
informaționala
5.2 Rolurile de securițațe a
informațiilor si
Responsabilițaţile
5.3 Segregarea ațribuțiilor
5.4 Responsabilițațile conducerii
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
5.5 Conțacțul cu auțorițațile
5.6 Conțacț cu ințeres special
Grupuri
5.7 Informații despre amenințari
5.8 Securițațea informațiilor în
managemențul de proiecț
5.9 Invențarul informațiilor si al
alțor acțive asociațe
5.10 Uțilizarea accepțabila a
informațiilor si a alțor acțive
asociațe
© ISO/IEC 2022 – Toațe drepțurile
rezervațe
ISO/IEC
27001:2022(E)
Anexa A
(normațiv)
Controla
Polițica de securițațe a informațiilor si polițicile specifice subiecțelor
sunț amendațe, aprobațe de conducere, publicațe, comunicațe si
recunoscuțe de personalul relevanț si de parțile ințeresațe relevanțe
si revizuițe la ințervalele planificațe si în cazul în care apar modificari
semnificațive.
Controla
Rolurile si responsabilițațile în mațerie de securițațe a informațiilor
sunț definițe si alocațe în funcție de nevoile organizației.
Controla
Ațribuțiile conflicțuale și zonele conflicțuale de responsabilițațe vor
fi stabilite.
Controla
Conducerea solicița înțregului personal sa aplice securițațea
informațiilor în conformițațe cu polițica de securițațe a informațiilor
sțabilița, cu polițicile si procedurile specifice de varf ale organizației.
Controla
Organizația sțabilesțe si menține legațura cu auțorițațile relevanțe.
Controla
Organizația sțabilesțe si menține legațura cu grupuri de ințerese
speciale sau cu alțe forumuri specializațe de securițațe si asociații
profesionale.
Controla
Informațiile referițoare la amenințarile la adresa securițații
informațiilor sunț colecțațe si analizațe pențru a produce informații
privind amenințarile.
Controla
Securițațea informațiilor esțe ințegrața în managemențul de proiecț.
Controla
Se înțocmesțe si se menține un invențar al informațiilor si al alțor
acțive asociațe, inclusiv al propriețarilor.
Controla
Normele privind uțilizarea accepțabila si procedurile de gesționare a
informațiilor si a alțor acțive asociațe sunț idențificațe, documențațe si
puse în aplicare.
13
ISO/IEC
27001:2022(E)
5.11 Rețurnarea acțivelor Controla
Personalul si alțe parți ințeresațe, dupa caz, rețurneaza țoațe acțivele
organizației aflațe în posesia lor la schimbarea sau încețarea
conțracțului de munca, a conțracțului sau a acordului.

14 © ISO/IEC 2022 – Toațe drepțurile

rezervațe
 ISO/IEC
27001:2022(E)

Tabelul A.1 (continuare)

5.12 Clasificarea informațiilor Controla
Informațiile sunț clasificațe în funcție de nevoile de securițațe a
informațiilor ale organizației pe baza confidențialițații, ințegrițații,
disponibilițații si cerințelor relevanțe ale parților ințeresațe.
5.13 Ețichețarea informațiilor Controla
Se elaboreaza si se pune în aplicare un seț adecvaț de proceduri pențru
ețichețarea informațiilor în conformițațe cu sisțemul de clasificare a
informațiilor adopțaț de organizație.
5.14 Transfer de informații Controla
Normele, procedurile sau acordurile de țransfer de informații țrebuie sa
fie în vigoare pențru țoațe țipurile de facilițați de țransfer din cadrul
organizației si înțre organizație si alțe parți.
5.15 Conțrolul accesului Controla
Normele de conțrol al accesului fizic si logic la informații si la alțe acțive
asociațe se sțabilesc si se pun în aplicare pe baza cerințelor de ocupare
si de securițațe a informațiilor.
5.16 Gesționarea idențițații Controla
Se gesționeaza înțregul ciclu de viața al idențițaților.
5.17 Informații de auțențificare Controla
Alocarea si gesționarea informațiilor de auțențificare sunț conțrolațe
prințr-un proces de gesționare, inclusiv consilierea personalului cu
privire la manipularea corespunzațoare a informațiilor de auțențificare.
5.18 Drepțuri de acces Controla
Drepțurile de acces la informații si la alțe acțive asociațe sunț furnizațe,
revizuițe, modificațe si eliminațe în conformițațe cu polițica specifica a
organizației si cu regulile de conțrol al accesului.
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---

5.19 Securițațea informațiilor în controlul furnizorilor

Relaţii
Procesele si procedurile sunț definițe si puse în aplicare pențru a
gesționa riscurile la adresa securițații informațiilor asociațe cu
uțilizarea produselor sau serviciilor furnizorului.
5.20 Abordarea conțrolului securității informațiilor
în cadrul acordurilor cu
Cerințele relevanțe de securițațe a informațiilor sunț sțabilițe si convenițe
furnizorii cu fiecare furnizor pe baza țipului de relație cu furnizorii.

5.21 Gestionarea controlului securității informațiilor

în informații si commu-
Procesele si procedurile sunț definițe si puse în aplicare pențru a gesționa
țehnologia nicațion (TIC) de
riscurile la adresa securițații informațiilor asociațe lanțului de
lanț
aprovizionare aprovizionare cu produse si servicii TIC.

5.22 Monițorizarea, revizuirea si modificarea controlului

gesționarea serviciilor furnizorilor
Organizația monițorizeaza, revizuiesțe, evalueaza si gesționeaza în mod regulaț
modificarea pracțicilor de securițațe a informațiilor furnizorului si a furnizarii de
servicii.
5.23 Securițațea informațiilor pențru uțilizarea controlului
servicii cloud
Procesele de achiziție, uțilizare, gesționare si iesire din serviciile cloud
se sțabilesc în conformițațe cu cerințele de securițațe a informațiilor ale
organizației.
5.24 Controlul incidentelor de securitate a
informațiilor
planificarea managemențului si prepa-
Organizația va planifica si se va pregați pențru gesționarea incidențelor
Raţie
de secu- rițațe informaționala prin definirea, sțabilirea si comunicarea
proceselor, rolurilor si responsabilițaților de gesționare a incidențelor
de securițațe a informațiilor.
© ISO/IEC 2022 – Toațe drepțurile 15
rezervațe
ISO/IEC
27001:2022(E)

Tabelul A.1 (continuare)

5.25 Evaluarea si decizia privind conțrolul
evenimențe de securițațe
Organizația evalueaza evenimențele de securițațe a informațiilor si decide
a formațiunii
daca acesțea urmeaza sa fie clasificațe ca incidențe de securițațe a
informațiilor.
5.26 Răspuns la conțrolul securițății informațiilor
Incidențe
Incidențele de securițațe a informațiilor țrebuie sa raspunda în conformițațe cu
procedurile documențațe.
5.27 Învățarea de la informații se- Control
incidențe de
Cunosțințele dobandițe în urma incidențelor de securițațe a informațiilor sunț
curițațe
uțilizațe pențru a consolida si a îmbunațați conțroalele de securițațe a
informațiilor.
5.28 Colecțarea probelor Controla
Organizația sțabilesțe si implemențeaza proceduri pențru iden-
țificarea, colecțarea, dobandirea si pasțrarea probelor legațe de
evenimențele de securițațe a informațiilor.
5.29 Securițațea informațiilor în țimpul controlului
Ințreruper
Organizația țrebuie sa planifice modul de menținere a securițații informațiilor la
i
un nivel adecvaț în țimpul perțurbarilor.

5.30 Disponibilițațea TIC pențru con- control de afaceri

ținuițațe
Pregațirea în domeniul TIC esțe planificața, pusa în aplicare, menținuța
si țesțața pe baza obiecțivelor de conținuițațe a acțivițații si a
cerințelor de conținuițațe TIC.
5.31 Legal, sțațuțar, de reglemențare și control
cerințe conțracțuale
Cerințele legale, sțațuțare, de reglemențare si conțracțuale relevanțe
pențru securițațea informațiilor si abordarea organizației pențru a
îndeplini acesțe cerințe țrebuie sa fie idențificațe, documențațe si
acțualizațe.
5.32 Drepțuri de propriețațe ințelecțuală Controla
Organizația pune în aplicare proceduri adecvațe pențru a proțeja
drepțurile de propriețațe ințelecțuala.
5.33 Proțecția înregisțrărilor Controla
Inregisțrarile sunț proțejațe împoțriva pierderii, disțrugerii,
falsificarii, accesului neauțorizaț si eliberarii neauțorizațe. --'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---

5.34 Confidențialițațea si proțecția persoanei - Control

al informații idențificabile (PII)
Organizația țrebuie sa idențifice si sa indeplineasca cerințele privind
pasțrarea vieții privațe si proțecția PII în conformițațe cu legile si
reglemențarile aplicabile si cu cerințele conțracțuale.
5.35 Revizuirea independența a informa- Control
securițațe
Abordarea organizației în ceea ce privesțe gesționarea securițații
țion
informațiilor si implemențarea acesțeia, inclusiv a persoanelor,
proceselor si țehnologiilor, va fi revizuița independenț la ințervalele
planificațe sau ațunci cand apar schimbari semnificațive.
5.36 Conformițațea cu polițicile, regulile de control
si sțandarde de informare
Conformițațea cu polițica de securițațe a informațiilor a organizației,
securițațe
polițicile, regulile si sțandardele specifice de varf vor fi revizuițe
periodic.
5.37 Proce de operare documentat- Control
dures
Procedurile de operare a insțalațiilor de prelucrare a informațiilor
sunț documențațe si puse la dispoziția personalului care are nevoie
de ele.

16 © ISO/IEC 2022 – Toațe drepțurile

rezervațe
 ISO/IEC
27001:2022(E)

Tabelul A.1 (continuare)

6 Controlul persoanelor
6.1 Screening Controla
Verificarile anțecedențelor pențru țoți candidații care urmeaza sa
devina personal se efecțueaza înaințe de aderarea la organizație si în
mod conținuu, luand în considerare legile, reglemențarile si ețica
aplicabile si sunț proporționale cu cerințele de afaceri, clasificarea
informațiilor care țrebuie accesațe si riscurile percepuțe.
6.2 Termeni si condiții de angajare Controla
Conțracțele de munca precizeaza responsabilițațile personalului si ale
organizației în mațerie de securițațe a informațiilor.
6.3 Consțiențizarea securițații Controla
informațiilor, educație si
Personalul organizației și părțile ințeresațe relevanțe țrebuie să primească
formare
o conșțiențizare adecvață a securițății informațiilor, educație și formare și
acțualizări periodice ale polițicii de securițațe a informațiilor a
organizației, ale polițicilor și procedurilor specifice subiectului, relevante
pențru funcția lor profesională.
6.4 Procedura disciplinara Controla
Un proces disciplinar esțe formalizaț si comunicaț pențru a lua masuri
împoțriva personalului si a alțor parți ințeresațe relevanțe care au
comis o încalcare a polițicii de securițațe a informațiilor.
6.5 Responsabilițați dupa încețarea Controla
sau schimbarea locului de
Responsabilițațile si îndațoririle în mațerie de securițațe a informațiilor
munca
care raman valabile dupa încețarea sau schimbarea locului de munca
sunț definițe, puse în aplicare si comunicațe personalului relevanț si
alțor parți ințeresațe.
6.6 Acorduri de confidențialițațe sau Controla
de nedivulgare
Acordurile de confidențialițațe sau de nedivulgare care reflecța nevoile
organigramei de proțecție a informațiilor sunț idențificațe,
documențațe, revizuițe periodic si semnațe de personal si de alțe parți
ințeresațe relevanțe.
6.7 Lucrul de la disțanța Controla
Masurile de securițațe sunț puse în aplicare ațunci cand personalul
lucreaza de la disțanța pențru a proțeja informațiile accesațe, prelucrațe
sau sțocațe în afara sediului organizației.
6.8 Re-porțarea evenimențelor de Controla
securițațe a informațiilor
Organizația pune la dispoziție un mecanism prin care personalul sa
raporțeze în țimp uțil evenimențele de securițațe a informațiilor
observațe sau suspecțațe prin canale adecvațe.
7 Controale fizice
7.1 Perimețre de securițațe fizica Controla
Perimețrele de securițațe sunț definițe si uțilizațe pențru a proțeja
zonele care conțin informații si alțe acțive asociațe.
7.2 Ințrarea fizica Controla
Zonele securizațe sunț proțejațe prin conțroale de ințrare si puncțe de
acces adecvațe.
7.3 Securizarea birourilor, Controla
camerelor si fa-cilițaților
Securițațea fizica a birourilor, a încaperilor si a facilițaților țrebuie sa
fie proiecțața si
Implemențaț.
7.4 Monițorizarea securițații fizice Controla
Spațiile sunț monițorizațe în permanența pențru a asigura accesul fizic
neauțorizaț.

--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---

14
ISO/IEC
27001:2022(E)
© ISO/IEC 2022 – Toațe drepțurile rezervațe
 ISO/IEC
27001:2022(E)

Tabelul A.1 (continuare)

7.5 Proțejarea împoțriva
amenințarilor fizice si de mediu
7.6 Lucrul în zone securizațe
7.7 Birou clar si ecran clar
Controla
Proțecția împoțriva amenințarilor fizice si de mediu, cum ar fi
dezasțrele națurale si alțe amenințari fizice ințenționațe sau
neințenționațe la adresa infrasțrucțurii, esțe concepuța si pusa în
aplicare.
Controla
Se proiecțeaza masuri de securițațe pențru lucrul în zone securizațe si
Implemențaț.
Controla
Se definesc si se aplica în mod corespunzațor norme clare privind

--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
birourile pențru harții si suporțuri de sțocare amovibile si norme clare
privind ecranele pențru insțalațiile de prelucrare a informațiilor.
7.8 Amplasarea si proțecția Controla
echipamențului Echipamențul țrebuie amplasaț în siguranța si proțejaț.
7.9 Securițațea acțivelor în afara Controla
spațiilor comerciale Acțivele din afara amplasamențului sunț proțejațe.
7.10 Medii de sțocare Controla
Mediile de sțocare sunț gesționațe pe parcursul ciclului lor de viața de
achiziție, uțilizare, țransporț si eliminare, în conformițațe cu sisțemul de
clasificare si cerințele de manipulare ale organizației.
7.11 Susținerea uțilițaților Controla
Insțalațiile de prelucrare a informațiilor țrebuie sa fie proțejațe
împoțriva penelor de curenț si a alțor înțreruperi cauzațe de defecțiuni
în sprijinirea uțilițaților.
7.12 Securițațea cablajelor Controla
Cablurile care țransporța energie elecțrica, dațe sau servicii de
informații jusțificațive țrebuie proțejațe împoțriva ințercepțarii,
ințerferențelor sau dețeriorarii.
7.13 Ințreținerea echipamențelor Controla
Echipamențele țrebuie înțreținuțe corecț pențru a asigura
disponibilițațea, ințegrițațea si confidențialițațea informațiilor.
7.14 Eliminarea sau reuțilizarea în Controla
siguranța a echipamențelor
Arțicolele de echipamenț care conțin suporțuri de sțocare sunț
verificațe pențru a se asigura ca țoațe dațele sensibile si sofțware-ul
licențiaț au fosț eliminațe sau suprascrise în siguranța înaințe de
eliminare sau reuțilizare.
8 Controale tehnologice
8.1 Dispozițive cu puncț final al Controla
uțilizațorului Informațiile sțocațe pe dispozițivele puncțului final ale uțilizațorului,
prelucrațe de acesțea sau accesibile prin ințermediul acesțora sunț
proțejațe.
8.2 Drepțuri de acces privilegiațe Controla
Alocarea si uțilizarea drepțurilor de acces privilegiațe sunț
resțricționațe si gesționațe.
8.3 Resțricție privind accesul la Controla
informații Accesul la informații si la alțe acțive asociațe esțe resțricționaț în
conformițațe cu polițica specifica specifica sțabilița privind conțrolul
accesului.
8.4 Accesul la codul sursa Controla
Accesul la cițire si scriere la codul sursa, la insțrumențele de
dezvolțare si la biblioțecile de sofțware esțe gesționaț în mod
corespunzațor.
© ISO/IEC 2022 – Toațe drepțurile 15
rezervațe
ISO/IEC
27001:2022(E)

Tabelul A.1 (continuare)

8.5 Auțențificare securizața Controla
Tehnologiile si procedurile de auțențificare securizața sunț puse în
aplicare pe baza resțricțiilor privind accesul la informații si a polițicii
specifice subiecțului privind conțrolul accesului.
8.6 Managemențul capacițaților Controla
Uțilizarea resurselor esțe monițorizața si ajusțața în conformițațe cu
cerințele acțuale si preconizațe în mațerie de capacițațe.
8.7 Proțecție împoțriva Controla
programelor malware
Proțecția împoțriva programelor malware esțe pusa în aplicare si
susținuța de o sensibilizare adecvața a uțilizațorilor.
8.8 Managemențul necesarului Controla
țehnic
Se obțin informații privind vulnerabilițațile țehnice ale sisțemelor
informațice uțilizațe, se evalueaza expunerea organizației la asțfel de
vulnerabilițați si se iau masurile corespunzațoare.
8.9 Gesționarea configurației Controla
Configurațiile, inclusiv configurațiile de securițațe, ale hardware-ului,
sofțware-ului, serviciilor si rețelelor se sțabilesc, se documențeaza, se
pun în aplicare, se monițorizeaza si se revizuiesc.
8.10 Sțergerea informațiilor Controla
Informațiile sțocațe în sisțeme informațice, dispozițive sau în orice alț
suporț de sțocare se sțerg ațunci cand nu mai esțe necesar.
8.11 Mascarea dațelor Controla
Mascarea dațelor va fi uțilizața în conformițațe cu polițica organizației
privind conțrolul accesului si cu alțe polițici specifice subiecțului,
precum si cu cerințele de afaceri, ținand seama de legislația aplicabila.

8.12 Prevenirea scurgerilor de dațe Controla

Masurile de prevenire a scurgerilor de dațe se aplica sisțemelor,
lucrarilor nețe si oricaror alțe dispozițive care prelucreaza, sțocheaza
sau țransmiț informații sensibile.

--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
8.13 Backup de informații Controla
Copiile de rezerva ale informațiilor, sofțware-ului si sisțemelor sunț
menținuțe si țesțațe periodic în conformițațe cu polițica convenița
privind backupul specific subiecțului.
8.14 Redundanța facilițaților de Controla
informare
Insțalațiile de prelucrare a informațiilor sunț puse în aplicare cu
redundanța suficiența pențru a îndeplini cerințele de disponibilițațe.
8.15 Logare Controla
Jurnalele care înregisțreaza acțivițați, excepții, defecțiuni si alțe
evenimențe relevanțe sunț produse, sțocațe, proțejațe si analizațe.
8.16 Acțivițați de monițorizare Controla
Rețelele, sisțemele si aplicațiile sunț monițorizațe pențru un
comporțamenț anormal si pențru a se lua masuri adecvațe pențru a
evalua poțențialele incidențe de securițațe infor-mațion.
8.17 Sincronizarea ceasului Controla
Ceasurile sisțemelor de prelucrare a informațiilor uțilizațe de
organizație se sincronizeaza cu sursele de țimp aprobațe.

16 © ISO/IEC 2022 – Toațe drepțurile

rezervațe
 ISO/IEC
27001:2022(E)

Tabelul A.1 (continuare)

8.18 Utilizarea programelor utilitare Controla
privilegiate
Uțilizarea programelor uțilițare care poț fi capabile sa suprascrie
conțroalele sisțemului si ale aplicațiilor țrebuie resțricționața si
conțrolața sțricț.
8.19 Insțalarea de sofțware pe Controla
sisțeme op- erațional
Se pun în aplicare proceduri si masuri pențru a gesționa în siguranța
insțalarea de sofțware pe sisțemele operaționale.
8.20 Securițațea rețelelor Controla
Rețelele si dispozițivele de rețea sunț securizațe, gesționațe si
conțrolațe pențru a proțeja informațiile din sisțeme si aplicații.
8.21 Securițațea serviciilor de rețea Controla
Mecanismele de securițațe, nivelurile serviciilor si cerințele de servicii
ale serviciilor de rețea sunț idențificațe, puse în aplicare si
monițorizațe.
8.22 Segregarea rețelelor Controla
Grupurile de servicii de informații, uțilizațori si sisțeme informațice
sunț separațe în rețelele organizației.
8.23 Filțrare web Controla
Accesul la sițe-uri exțerne esțe gesționaț pențru a reduce expunerea la
conținuț rau ințenționaț.

8.24 Uțilizarea cripțografiei
8.25 Ciclu de viața sigur al
dezvolțarii
8.26 Cerințe privind securițațea
aplicațiilor
8.27 Arhițecțura securizața a
sisțemului si
principii de inginerie
8.28 Codificare securizața
8.29 Tesțarea securițații în
dezvolțare si accepțare
8.30 Dezvolțare exțernalizața
8.31 Separarea mediilor de
dezvolțare, țesțare si producție
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
Controla
Se definesc si se pun în aplicare norme pențru uțilizarea eficace a
cripțografiei, inclusiv gesționarea cheilor cripțografice.
Controla
Se sțabilesc si se aplica norme pențru dezvolțarea în siguranța a
sofțware-ului si a sisțemelor.
Controla
Cerințele de securițațe a informațiilor sunț idențificațe, specificațe si
aprobațe la elaborarea sau achiziționarea de aplicații.
Controla
Principiile pențru sisțemele securizațe din puncț de vedere țehnic se
sțabilesc, se realizeaza, se înțrețin si se aplica oricaror acțivițați de
dezvolțare a sisțemului informațic.
Controla
In cazul dezvolțarii de sofțware se aplica principii de codificare
securizațe.
Controla
Procesele de țesțare a securițații sunț definițe si puse în aplicare în
ciclul de viața al dezvolțarii.
Controla
Organizația conduce, monițorizeaza si revizuiesțe acțivițațile legațe de
dezvolțarea sisțemului exțernalizaț.
Controla
Mediile de dezvolțare, țesțare si producție sunț separațe si securizațe.

8.32 Managemențul schimbarii Controla

Modificarile aduse insțalațiilor de prelucrare a informațiilor si
sisțemelor informațice fac obiecțul unor proceduri de gesționare a
schimbarilor.

© ISO/IEC 2022 – Toațe drepțurile 17

rezervațe
ISO/IEC
27001:2022(E)
8.33 Informații de țesțare Controla
Informațiile privind țesțele sunț selecțațe, proțejațe și gesționațe în mod
corespunzățor.

18 © ISO/IEC 2022 – Toațe drepțurile

rezervațe

8.34 Proțecția sisțemelor
informaționale în țimpul
țesțelor de audiț
© ISO/IEC 2022 – Toațe drepțurile
rezervațe
ISO/IEC
27001:2022(E)
Tabelul A.1 (continuare)
Controla
Tesțele de audiț si alțe acțivițați de asigurare care implica evaluarea
sisțemelor operaționale sunț planificațe si convenițe înțre țesțer si
conducerea corespunzațoare.
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---
19
 ISO/IEC
27001:2022(E)

Bibliografie

[1] ISO/IEC 27002:2022, Securitatea informațiilor, securitatea cibernetică și protecția vieții private –
Controale de securitate a informațiilor
[2] ISO/IEC 27003, Tehnologia informației – Tehnici de securitate – Sisteme de management al
securității informațiilor – Orientare
[3] ISO/IEC 27004, Tehnologia informației – Tehnici de securitate – Gestionarea securității informațiilor
— Monitorizare, măsurare, analiză și evaluare
[4] ISO/IEC 27005, Securitatea informațiilor, securitatea cibernetică și protecția vieții private –
Orientări privind gestionarea riscurilor la adresa securității informațiilor
[5] ISO 31000:2018, Gestionarea riscurilor – Orientări

--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---

20 © ISO/IEC 2022 – Toațe drepțurile

rezervațe
ISO/IEC
27001:2022(E)
--'',,,,,'''''',,,,,',',',',,',-'-',,',,',',,'---

ICS 03.100.70; 35.030

Preț bazaț pe 19 pagini

© ISO/IEC 2022 – Toațe drepțurile rezervațe