Trandafir Toma

Univesitatea Națională de Știință și Tehnologie Politehnica București

Inginerie Economică în Activități Industriale

Standardul ISO 27001 Managementul Securității

Informațiilor

Standardul ISO 27001 reprezintă un cadru global recunoscut pentru stabilirea, implementarea, menținerea
și îmbunătățirea continuă a unui sistem de management al securității informațiilor (ISMS). Acest
standard oferă organizațiilor un set detaliat de cerințe și principii, adaptabile la orice tip, dimensiune sau
natură a organizației, în vederea asigurării securității informațiilor.
La baza ISO 27001 stă abordarea proactivă a securității informațiilor, încurajând organizațiile să
identifice și să evalueze riscurile potențiale asociate informațiilor pe care le dețin, procesează și
gestionează. Standardul oferă ghidare detaliată privind stabilirea contextului organizațional, identificarea
părților interesate și determinarea nevoilor acestora, precum și stabilirea obiectivelor de securitate a
informațiilor.
O componentă esențială a ISO 27001 este angajamentul conducerii în asigurarea unui ISMS eficient. Top
managementul este responsabil de elaborarea unei politici de securitate a informațiilor, aliniate cu direcția
strategică a organizației, și de integrarea cerințelor ISMS în procesele organizaționale. Implicarea
conducerii nu se oprește aici; aceasta include și asigurarea disponibilității resurselor necesare pentru
implementarea și menținerea ISMS, precum și promovarea unei culturi a îmbunătățirii continue.
Un alt aspect cheie al ISO 27001 este procesul de evaluare și tratament a riscurilor. Organizațiile sunt
îndemnate să identifice amenințările potențiale, să evalueze impactul acestora și să implementeze măsuri
adecvate pentru reducerea riscurilor la nivele acceptabile. Un aspect distinctiv al standardului este
inclusivitatea, adică aplicabilitatea la organizații de orice dimensiune, indiferent de natura lor.
În această perspectivă, ISO 27001 reprezintă nu doar un set de cerințe tehnice, ci și un ghid complet care
vizează asigurarea confidențialității, integrității și disponibilității informațiilor într-un mod adaptabil și
eficient. Implementarea acestui standard consolidează atât securitatea informațiilor, cât și încrederea
părților interesate, oferind organizațiilor un instrument valoros pentru gestionarea riscurilor și
îmbunătățirea continuă a securității informațiilor.

Rolul ISO 27001

1. Asigurarea Securității Informațiilor: ISO 27001 oferă un cadru solid pentru identificarea și gestionarea
riscurilor asociate securității informațiilor, asigurând că datele organizației sunt protejate împotriva
amenințărilor cibernetice și a altor vulnerabilități.

2. Îmbunătățirea Continuă:Standardul promovează o cultură a îmbunătățirii continue, încurajând

organizația să adapteze și să optimizeze în mod constant procesele și practicile sale de securitate a
informațiilor.
3. Conformitatea cu Cerințele Legale și Reglementările: Implementarea ISO 27001 ajută compania să se
conformeze mai bine cu cerințele legale și reglementările privind securitatea informațiilor, evitând astfel
sancțiuni și amenzi.

4. Creșterea Încrederii Părților Interesate: Organizațiile care respectă ISO 27001 demonstrează un
angajament puternic față de securitatea informațiilor, câștigând astfel încrederea clienților, partenerilor de
afaceri și a altor părți interesate.

5. Protejarea Reputației: Securitatea informațiilor este esențială pentru menținerea unei reputații solide.
ISO 27001 ajută la prevenirea scurgerilor de date și a incidentelor de securitate care ar putea afecta
negativ imaginea companiei.

6. Optimizarea Resurselor: Standardul încurajează o gestionare eficientă a resurselor în ceea ce privește

securitatea informațiilor, asigurându-se că investițiile sunt direcționate către măsuri cu impact
semnificativ în gestionarea riscurilor.

7. Protejarea Informațiilor Sensibile: Prin implementarea ISO 27001, companiile pot identifica și proteja
informațiile critice, cum ar fi datele clienților sau proprietatea intelectuală, împotriva accesului
neautorizat sau a pierderii.

8. Continuitatea Afacerii: Standardul include cerințe pentru planificarea și gestionarea continuității

afacerii, asigurându-se că organizația poate răspunde eficient la incidente și să-și continue operațiunile în
cazul unor situații de urgență.

9. Acces la Oportunități de Afaceri: Respectarea standardului poate oferi organizației un avantaj

competitiv, deoarece clienții și partenerii pot percepe cu încredere că informațiile lor sunt în siguranță în
colaborarea cu respectiva companie.

10. Gestionarea Eficientă a Riscurilor: ISO 27001 oferă un cadru structurat pentru identificarea, evaluarea
și gestionarea riscurilor, asigurând că organizația abordează proactiv amenințările la adresa securității
informațiilor într-un mod eficient și eficace.
Sisteme de management al securității informațiilor — Cerințe
1 Domeniu de aplicare
Acest document specifică cerințele pentru stabilirea, implementarea, menținerea și îmbunătățirea continuă
a unui sistem de management al securității informației în cadrul organizației. Documentul cuprinde, de
asemenea, cerințe pentru evaluarea și tratarea riscurilor de securitate a informațiilor, adaptate la nevoile
organizației. Cerințele stabilite în acest document sunt generice și sunt destinate să fie aplicabile tuturor
organizațiilor, indiferent de tip, dimensiune sau natură. Excluderea oricăror cerințe specificate în clauzele
4 până la 10 nu este acceptabilă atunci când o organizație susține conformitatea cu acest document.

2 Referințe normative
Următoarele documente sunt menționate în text într-un mod astfel încât o parte sau întregul conținut al
acestora constituie cerințe ale acestui document. Pentru referințe datate, se aplică doar ediția menționată.
Pentru referințe nedatate, se aplică ultima ediție a documentului menționat (inclusiv orice amendament).
- ISO/IEC 27000, Tehnologia informației — Tehnici de securitate — Sisteme de management al
securității informațiilor — Prezentare generală și vocabular

3 Termeni și definiții
În scopul acestui document, termenii și definițiile furnizate în ISO/IEC 27000 sunt aplicabile. ISO și IEC
mențin baze de date de terminologie pentru utilizare în standardizare la următoarele adrese:
- Platforma de navigare online ISO: disponibilă la https://www.iso.org/obp
- Electropedia IEC: disponibilă la https://www.electropedia.org/

4 Contextul organizației
4.1 Înțelegerea organizației și a contextului său
Organizația trebuie să identifice problemele externe și interne relevante pentru scopul său și care
afectează capacitatea sa de a atinge rezultatele dorite ale sistemului său de management al securității
informațiilor. NOTĂ: Identificarea acestor probleme se referă la stabilirea contextului extern și intern al
organizației, conform considerentelor din clauza 5.4.1 a ISO 31000:2018.

4.2 Înțelegerea nevoilor și așteptărilor părților interesate

Organizația trebuie să identifice:
a) părțile interesate relevante pentru sistemul său de management al securității informațiilor;
b) cerințele relevante ale acestor părți interesate;
c) care dintre aceste cerințe vor fi abordate prin intermediul sistemului său de management al securității
informațiilor.
4.3 Stabilirea domeniului de aplicare al sistemului de management al securității informațiilor
Organizația trebuie să stabilească limitele și aplicabilitatea sistemului său de management al securității
informațiilor pentru a stabili domeniul său. Când stabilește acest domeniu, organizația trebuie să ia în
considerare:
a) problemele externe și interne menționate în 4.1;
b) cerințele menționate în 4.2;
c) interfețele și dependențele între activitățile efectuate de organizație și cele efectuate de alte organizații.
Domeniul trebuie să fie disponibil sub formă de informație documentată.

4.4 Sistemul de management al securității informațiilor

Organizația trebuie să stabilească, implementeze, mențină și îmbunătățească continuu un sistem de
management al securității informațiilor, inclusiv procesele necesare și interacțiunile acestora, în
conformitate cu cerințele acestui document.

5 Conducere
5.1 Conducerea și angajamentul
Conducerea superioară trebuie să demonstreze conducere și angajament în ceea ce privește sistemul de
management al securității informațiilor prin:
a) asigurarea că politica de securitate a informațiilor și obiectivele de securitate a informațiilor sunt
stabilite și compatibile cu direcția strategică a organizației;
b) asigurarea integrării cerințelor sistemului de management al securității informațiilor în procesele
organizației;
c) asigurarea disponibilității resurselor necesare pentru sistemul de management al securității
informațiilor;
d) comunicarea importanței managementului eficient al securității informațiilor și a conformității cu
cerințele sistemului de management al securității informațiilor;
e) asigurarea că sistemul de management al securității informațiilor își atinge rezultatele dorite;
f) îndrumarea și sprijinirea persoanelor pentru a contribui la eficacitatea sistemului de management al
securității informațiilor;
g) promovarea îmbunătățirii continue;
h) sprijinirea altor roluri de management relevante pentru a-și demonstra conducerea în ceea ce privește
domeniile lor de responsabilitate.
5.2 Politica
Conducerea superioară trebuie să stabilească o politică de securitate a informațiilor care:
a) este potrivită scopului organizației;
b) include obiective de securitate a informațiilor (a se vedea 6.2) sau oferă cadrul pentru stabilirea
obiectivelor de securitate a informațiilor;
c) include angajamentul de a satisface cerințele aplicabile refer

itoare la securitatea informațiilor;

d) include angajamentul de îmbunătățire continuă a sistemului de management al securității informațiilor.
Politica de securitate a informațiilor trebuie să:
e) fie disponibilă ca informație documentată;
f) fie comunicată în cadrul organizației;
g) fie disponibilă părților interesate, după caz.

5.3 Roluri, responsabilități și autorități organizaționale

Conducerea superioară trebuie să se asigure că responsabilitățile și autoritățile pentru rolurile relevante
pentru securitatea informațiilor sunt atribuite și comunicate în cadrul organizației. Conducerea superioară
trebuie să atribuie responsabilitatea și autoritatea pentru:
a) asigurarea conformității sistemului de management al securității informațiilor cu cerințele acestui
document;
b) raportarea privind performanța sistemului de management al securității informațiilor conducerii
superioare.

6 Planificare
6.1 Acțiuni pentru abordarea riscurilor și oportunităților
6.1.1 Generalități
Când planifică sistemul de management al securității informațiilor, organizația trebuie să ia în considerare
problemele menționate în 4.1 și cerințele menționate în 4.2 și să determine riscurile și oportunitățile care
trebuie abordate pentru a:
a) asigura că sistemul de management al securității informațiilor poate atinge rezultatele dorite;
b) preveni sau reduce efectele nedorite;
c) atinge îmbunătățirea continuă. Organizația trebuie să planifice:
d) acțiuni pentru a aborda aceste riscuri și oportunități;
 - integreze și implementeze acțiunile în procesele sistemului său de management al securității
informațiilor; și
- evalueze eficacitatea acestor acțiuni.

6.1.2 Evaluarea riscurilor de securitate a informațiilor

Organizația trebuie să definească și să aplice un proces de evaluare a riscurilor de securitate a
informațiilor care:
a) stabilește și menține criterii de evaluare a riscurilor de securitate a informațiilor care includ:
- criteriile de acceptare a riscului;
- criterii pentru efectuarea evaluărilor de riscuri de securitate a informațiilor;
b) asigură că evaluările repetate ale riscurilor de securitate a informațiilor produc rezultate consistente,
valide și comparabile;
c) identifică riscurile de securitate a informațiilor:
- aplică procesul de evaluare a riscurilor de securitate a informațiilor pentru a identifica riscurile
asociate cu pierderea confidențialității, integrității și disponibilității informațiilor în cadrul sistemului de
management al securității informațiilor;
- identifică proprietarii riscurilor;
d) analizează riscurile de securitate a informațiilor:
- evaluează consecințele potențiale care ar rezulta dacă riscurile identificate în 6.1.2 c) 1) ar deveni reale;
- evaluează probabilitatea realistă a apariției riscurilor identificate în 6.1.2 c) 1);
- determină nivelurile de risc;
e) evaluează riscurile de securitate a informațiilor:
- compară rezultatele analizei riscurilor cu criteriile de risc stabilite în 6.1.2 a);
- prioritizează riscurile analizate pentru tratamentul riscurilor. Organizația trebuie să păstreze
informații documentate despre procesul de evaluare a riscurilor de securitate a informațiilor.

6.1.3 Tratarea riscurilor de securitate a informațiilor

Organizația trebuie să definească și să aplice un proces de tratare a riscurilor de securitate a informațiilor
pentru a:
a) selecta opțiuni adecvate de tratare a riscurilor de securitate a informațiilor, ținând cont de rezultatele
evaluării riscurilor;
b) determina toate controalele necesare pentru implementarea opțiunilor de tratare a riscurilor de
securitate a informațiilor alese;
c) compara controalele determinate în 6.1.3 b) cu cele din Anexa A și verificați că nu lipsesc controalele
necesare;
d) produce o Declarație de Aplicabilitate care conține:
— controalele necesare
— justificarea includerii lor;
— dacă controalele necesare sunt implementate sau nu; și
— justificarea pentru excluderea oricărui control din Anexa A.
e) formulează un plan de tratare a riscurilor de securitate a informațiilor; și
f) obține aprobarea proprietarilor de risc pentru planul de tratare a riscurilor de securitate a informațiilor și
acceptarea riscurilor de securitate a informațiilor reziduale. Organizația trebuie să păstreze informații
documentate despre procesul de tratare a riscurilor de securitate a informațiilor.

6.2 Obiectivele de Securitate și Planificarea pentru Atingerea Lor

Organizația trebuie să stabilească obiective de securitate la niveluri și funcții relevante. Aceste obiective
de securitate trebuie să:
a) fie în concordanță cu politica de securitate a informațiilor;
b) fie măsurabile (dacă este practic);
c) ia în considerare cerințele de securitate a informațiilor aplicabile și rezultatele din evaluarea și tratarea
riscurilor;
d) fie monitorizate;
e) fie comunicate;
f) fie actualizate, după cum este necesar;
g) fie disponibile ca informație documentată.
În timpul planificării modului de atingere a obiectivelor sale de securitate a informațiilor, organizația
trebuie să determine:
h) ce va fi făcut;
i) ce resurse vor fi necesare;
j) cine va fi responsabil;
k) când se va finaliza;
l) cum vor fi evaluate rezultatele.
Această etapă de planificare detaliată contribuie la asigurarea că obiectivele de securitate ale organizației
sunt integrate eficient în procesele sale și că acestea sunt realizate în mod coerent și în conformitate cu
standardele ISO 27001.

6.3 Planificarea Schimbărilor

Atunci când organizația determină necesitatea unor modificări în sistemul său de management al
securității informațiilor, aceste modificări trebuie efectuate într-un mod planificat. Toate schimbările
planificate trebuie să fie supuse unui proces de evaluare și control, iar consecințele schimbărilor
neintenționate trebuie revizuite și luate în considerare.

7. Suport
7.1 Resurse
Organizația trebuie să identifice și să furnizeze resursele necesare pentru stabilirea, implementarea,
menținerea și îmbunătățirea continuă a sistemului său de management al securității informațiilor.

7.2 Competență
Organizația trebuie să:
a) determine competența necesară a persoanelor care desfășoară activități sub controlul său și care
afectează performanța sa în domeniul securității informațiilor;
b) asigure că aceste persoane sunt competente pe baza educației, formării sau experienței adecvate;
c) întreprindă acțiuni, acolo unde este aplicabil, pentru a obține competența necesară și să evalueze
eficacitatea acțiunilor întreprinse;
d) păstreze informații documentate adecvate ca dovadă a competenței.

7.3 Conștientizare
Persoanele care desfășoară activități sub controlul organizației trebuie să fie conștiente de:
a) politica de securitate a informațiilor;
b) contribuția lor la eficacitatea sistemului de management al securității informațiilor, inclusiv beneficiile
îmbunătățirii performanței securității informațiilor;
c) consecințele necorespunderii cerințelor sistemului de management al securității informațiilor.

7.4 Comunicare
Organizația trebuie să determine necesitatea comunicărilor interne și externe relevante pentru sistemul
său de management al securității informațiilor, incluzând:
a) ce să comunice;
b) când să comunice;
c) cu cine să comunice;
d) cum să comunice.

7.5 Informații documentate

7.5.1 Generalități
Sistemul de management al securității informațiilor al organizației trebuie să includă:
a) informații documentate necesare conform acestui document;
b) informații documentate stabilite de organizație ca fiind necesare pentru eficacitatea sistemului său de
management al securității informațiilor.

7.5.2 Crearea și actualizarea

În momentul creării și actualizării informațiilor documentate, organizația trebuie să asigure:
a) identificarea și descrierea corespunzătoare (de exemplu, titlu, dată, autor sau număr de referință);
b) formatul (de exemplu, limbă, versiune software, grafică) și suportul (de exemplu, hârtie, electronic);
c) revizuirea și aprobarea pentru adecvare și coerență.

7.5.3 Controlul informațiilor documentate

Informațiile documentate necesare pentru sistemul de management al securității informațiilor și conform
acestui document trebuie să fie controlate pentru a asigura:
a) disponibilitatea și potrivirea pentru utilizare, acolo unde și când este necesară;
b) protejarea adecvată (de exemplu, împotriva pierderii de confidențialitate, utilizării improprii sau
pierderii de integritate).
Pentru controlul informațiilor documentate, organizația trebuie să abordeze următoarele activități, în
funcție de caz:
c) distribuție, acces, recuperare și utilizare;
d) stocare și conservare, inclusiv conservarea lizibilității;
e) controlul modificărilor (de exemplu, controlul versiunii);
f) păstrarea și eliminarea.
Informațiile documentate de origine externă, considerate de organizație ca fiind necesare pentru
planificarea și funcționarea sistemului său de management al securității informațiilor, trebuie să fie
identificate corespunzător și controlate.

8. Operaționalizare
8.1 Planificare și Control Operațional
Organizația trebuie să planifice, implementeze și controleze procesele necesare pentru a îndeplini
cerințele și a implementa acțiunile determinate în Clauza 6, prin:
— stabilirea criteriilor pentru procese;
— implementarea controlului proceselor în conformitate cu criteriile.
Informațiile documentate trebuie să fie disponibile în măsura în care este necesar pentru a avea încredere
că procesele au fost efectuate conform planului.
Organizația trebuie să controleze schimbările planificate și să evalueze consecințele schimbărilor
neintenționate, luând măsuri pentru a atenua orice efecte adverse, dacă este necesar.
Organizația trebuie să se asigure că procesele furnizate extern, produsele sau serviciile care sunt relevante
pentru sistemul său de management al securității informațiilor sunt controlate.

8.2 Evaluarea Riscurilor de Securitate a Informațiilor

Organizația trebuie să efectueze evaluări periodice ale riscurilor de securitate a informațiilor sau atunci
când sunt propuse sau apar schimbări semnificative, ținând cont de criteriile stabilite în 6.1.2 a).
Organizația trebuie să păstreze informații documentate cu privire la rezultatele evaluărilor riscurilor de
securitate a informațiilor.

8.3 Tratarea Riscurilor de Securitate a Informațiilor

Organizația trebuie să definească și să aplice un proces de tratare a riscurilor de securitate a informațiilor
pentru:
a) selectarea opțiunilor adecvate de tratare a riscurilor de securitate a informațiilor, ținând cont de
rezultatele evaluării riscurilor;
b) determinarea tuturor controalelor necesare pentru implementarea opțiunii/ opțiunilor de tratare a
riscurilor de securitate a informațiilor alese;
c) compararea controalelor determinate în 8.3 b) cu cele din Anexa A și verificarea faptului că nu au fost
omise controale necesare;
d) elaborarea unei Declarații de Aplicabilitate care să conțină:
— controalele necesare
— justificarea includerii lor;
— dacă controalele necesare sunt implementate sau nu;
— justificarea excluziunii oricăror controale din Anexa A.
e) formularea unui plan de tratare a riscurilor de securitate a informațiilor;
f) obținerea aprobării de la proprietarii de riscuri pentru planul de tratare a riscurilor de securitate a
informațiilor și acceptarea riscurilor de securitate a informațiilor reziduale.
Organizația trebuie să păstreze informații documentate privind procesul de tratare a riscurilor de
securitate a informațiilor.

8.4 Verificare
Organizația trebuie să stabilească, implementeze și mențină procese pentru a efectua verificări interne și
externe ale sistemului său de management al securității informațiilor, pentru a asigura conformitatea cu
cerințele specificate în cadrul standardului ISO 27001.

8.4.1 Verificarea operațională

Organizația trebuie să efectueze verificări operaționale periodice pentru a asigura că procesele și
controalele din cadrul sistemului său de management al securității informațiilor sunt implementate și
funcționează așa cum au fost planificate.

8.4.2 Evaluare a performanței furnizorilor

Organizația trebuie să evalueze performanța furnizorilor externi care oferă procese, produse sau servicii
care sunt critice pentru sistemul său de management al securității informațiilor. Această evaluare trebuie
să se asigure că furnizorii respectă cerințele de securitate a informațiilor ale organizației.

8.4.3 Audit intern

Organizația trebuie să conducă audituri interne la intervale planificate pentru a furniza informații cu
privire la faptul dacă sistemul său de management al securității informațiilor:
a) este conform cu cerințele proprii;
b) este conform cu cerințele standardului ISO 27001;
c) este implementat și menținut eficient.
8.4.4 Audit extern
Organizația trebuie să permită auditurile externe la intervale planificate pentru a furniza asigurări că
sistemul său de management al securității informațiilor este conform cu cerințele standardului ISO 27001.
Organizația trebuie să asigure că persoanele care conduc auditurile interne și externe sunt competente în
domeniul auditului și al securității informațiilor.

9. Evaluarea Performanței
9.1 Monitorizare, măsurare, analiză și evaluare
Organizația trebuie să determine:
a) ce trebuie monitorizat și măsurat, inclusiv procesele și controalele de securitate a informațiilor;
b) metodele de monitorizare, măsurare, analiză și evaluare, după caz, pentru a asigura rezultate valide.
Metodele selectate ar trebui să producă rezultate comparabile și reproductibile pentru a fi considerate
valide;
c) când trebuie să fie efectuate monitorizarea și măsurarea;
d) cine trebuie să efectueze monitorizarea și măsurarea;
e) când rezultatele de la monitorizare și măsurare trebuie să fie analizate și evaluate;
f) cine trebuie să analizeze și evalueze aceste rezultate.
Informații documentate trebuie să fie disponibile ca dovadă a rezultatelor.
Organizația trebuie să evalueze performanța sistemului său de management al securității informațiilor și
eficacitatea acestuia.

9.2 Audit intern

9.2.1 Generalități
Organizația trebuie să efectueze audituri interne la intervale planificate pentru a furniza informații cu
privire la faptul dacă sistemul său de management al securității informațiilor:
a) este conform cu cerințele proprii pentru sistemul său de management al securității informațiilor;
b) este conform cu cerințele standardului ISO 27001;
c) este implementat și menținut eficient.
9.2.2 Program de audit intern
Organizația trebuie să planifice, să stabilească, să implementeze și să mențină un program de audit
intern(e), inclusiv frecvența, metodele, responsabilitățile, cerințele de planificare și raportare.
La stabilirea programului de audit intern(e), organizația trebuie să ia în considerare importanța proceselor
respective și rezultatele auditurilor anterioare.
Organizația trebuie să:
a) definească criteriile și domeniul auditului pentru fiecare audit;
b) selecționeze auditorii și să efectueze audituri care asigură obiectivitatea și imparțialitatea procesului de
audit;
c) asigure că rezultatele auditurilor sunt raportate conducătorilor relevanți.

Informații documentate trebuie să fie disponibile ca dovadă a implementării programului de audit intern și
a rezultatelor auditului.

9.3 Revizuirea de Management

9.3.1 Generalități
Top managementul trebuie să revizuiască sistemul de management al securității informațiilor al
organizației la intervale planificate pentru a asigura că este în continuare adecvat, corespunzător și
eficient.

9.3.2 Intrări în revizuirea de management

Revizuirea de management trebuie să includă examinarea:
a) starea acțiunilor din revizuirile de management anterioare;
b) modificările în problemele externe și interne relevante pentru sistemul de management al securității
informațiilor;
c) modificările în nevoile și așteptările părților interesate relevante pentru sistemul de management al
securității informațiilor;
d) feedback-ul privind performanța sistemului de management al securității informațiilor, inclusiv
tendințele legate de:
- neconformități și acțiuni corective;
- rezultatele monitorizării și măsurătorilor;
- rezultatele auditurilor;
- îndeplinirea obiectivelor de securitate a informațiilor;
e) feedback-ul de la părțile interesate;
f) rezultatele evaluării riscurilor de securitate a informațiilor și starea planului de tratament a riscurilor;
g) oportunități pentru îmbunătățiri continue.

9.3.3 Rezultatele Revizuirii de Management

Rezultatele revizuirii de management trebuie să includă decizii referitoare la oportunități de îmbunătățire
continuă și orice nevoi de schimbare a sistemului de management al securității informațiilor.
Organizația trebuie să decidă și să planifice acțiuni care să abordeze oportunitățile de îmbunătățire
continuă și să asigure că sistemul de management al securității informațiilor continuă să fie adecvat,
corespunzător și eficient.
Documentația rezultată din revizuirea de management trebuie să fie disponibilă ca dovadă a deciziilor
luate și a planurilor de acțiune asociate.

10. Îmbunătățire
10.1 Îmbunătățire Continuă
Organizația trebuie să îmbunătățească continuu adecvarea, corespunzătoarea și eficacitatea sistemului său
de management al securității informațiilor.

10.2 Necorespundere și Acțiune Corectivă

Atunci când apare o neconformitate, organizația trebuie să:
a) reacționeze la neconformitate, și după caz:
- ia măsuri pentru a o controla și corecta;
- gestionează consecințele;
b) evalueze necesitatea acțiunii pentru eliminarea cauzelor neconformității, astfel încât să nu se repete sau
să apară în altă parte, prin:
- revizuirea neconformității;
- determinarea cauzelor neconformității;
- determinarea dacă există neconformități similare sau care ar putea apărea;
c) implementeze orice acțiune necesară;
d) revizuiască eficacitatea oricărei acțiuni corective luate;
e) efectueze modificări în sistemul de management al securității informațiilor, dacă este necesar.
Acțiunile corective trebuie să fie adecvate efectelor neconformităților întâlnite. Informații documentate
trebuie să fie disponibile ca dovadă a naturii neconformităților și a oricăror acțiuni corective ulterioare
luate.

În concluzie, standardul ISO 27001 reprezintă un instrument esențial pentru orice companie preocupată
de securitatea informațiilor. Acest cadru global oferă nu doar cerințe tehnice, ci și principii fundamentale
pentru stabilirea, implementarea, menținerea și îmbunătățirea continuă a unui sistem de management al
securității informațiilor (ISMS). Prin promovarea unei abordări proactice, ISO 27001 aduce beneficii
semnificative pentru organizații de toate dimensiunile și industrii.

Implementarea ISO 27001 aduce cu sine numeroase avantaje, inclusiv asigurarea securității informațiilor,
îmbunătățirea continuă, conformitatea cu reglementările și construirea încrederii părților interesate. Acest
standard nu doar protejează datele sensibile, ci și optimizează resursele, contribuind la o gestionare
eficientă a riscurilor și la dezvoltarea unei culturi organizaționale orientate către securitate.

De asemenea, ISO 27001 oferă oportunități de creștere și dezvoltare, consolidând reputația companiei și
facilitând accesul la noi parteneriate de afaceri. Într-o eră în care amenințările cibernetice sunt tot mai
complexe și omniprezente, adoptarea acestui standard devine crucială pentru menținerea unui mediu de
afaceri sigur și pentru protejarea datelor organizaționale și a informațiilor clienților. Prin urmare, ISO
27001 nu reprezintă doar o opțiune, ci un imperativ pentru organizații orientate către succes, durabilitate
și securitate.