Anexa A La ISO 27001 - 2022

Anexa A (normativă)
Mijloacele de control aferente securității informațiilor
1
• Mijloacele de control aferente securității informațiilor enumerate în tabelul A.1 sunt direct
derivate și aliniate din/la cele enumerate în ISO/IEC 27002:2022, clauzele 5-8 și se
utilizează în contextul de la 6.1.3.
Identificator al mijlocului de Identificator al mijlocului de Nume mijloc de control
control ISO/IEC 27001:2022 control ISO/IEC 27001:2013
Mijloace de control organizaționale (I)
5.1 05.1.1, 05.1.2 Politici de securitate a informației
5.2 06.1.1 Roluri și responsabilității privind securitatea informației
5.3 06.1.2 Separarea sarcinilor
5.4 07.2.1 Responsabilitățile managementului
5.5 06.1.3 Contact cu autoritățile
5.6 06.1.4 Contact cu grupuri speciale de interese
5.7 Nou Informații privind amenințările
5.8 06.1.5, 14.1.1 Securitatea informației în managementul de proiect
5.9 08.1.1, 08.1.2 Inventarul informațiilor și al altor active asociate
5.10 08.1.3, 08.2.3 Utilizarea acceptabilă a informațiilor și a altor active asociate
5.11 08.1.4 Restituirea activelor
5.12 08.2.1 Clasificarea informației
5.13 08.2.2 Etichetarea informației
5.14 13.2.1, 13.2.2, 13.2.3 Transferul informațiilor
5.15 09.1.1, 09.1.2 Controlul accesului
5.16 09.2.1 Managementul identității
5.17 09.2.4, 09.3.1, 09.4.3 Informații de autentificare
5.18 09.2.2, 09.2.5, 09.2.6 Drepturi de acces
2
Mijloace de control organizaționale (II)

5.19 15.1.1 Securitatea informației în relațiile cu furnizorii
5.20 15.1.2 Abordarea securității informației în cadrul acordurilor cu furnizorii
5.21 15.1.3 Managementul securității informației în lanțul de aprovizionare IT&C
5.22 15.2.1, 15.2.2 Monitorizarea, analizarea și managementul schimbării serviciilor
furnizorilor
5.23 Nou Securitatea informației pentru utilizarea serviciilor cloud
Planificarea și pregătirea managementului incidentelor de securitate a
5.24 16.1.1
informației
5.25 16.1.4 Evaluare și decizie cu privire la evenimentele de securitate a informației
5.26 16.1.5 Răspuns la incidentele de securitate a informației
5.27 16.1.6 Învățare din incidentele de securitate a informației
5.28 16.1.7 Colectarea dovezilor
5.29 17.1.1, 17.1.2, 17.1.3 Securitatea informației în timpul întreruperilor / perturbărilor
5.30 Nou Pregătirea IT&C pentru continuitatea afacerii
5.31 18.1.1, 18.1.5 Cerințe legale, statutare, de reglementare și contractuale
5.32 18.1.2 Drepturi de proprietate intelectuală
5.33 18.1.3 Protecția înregistrărilor
5.34 18.1.4 Confidențialitatea și protecția PII (datelor cu caracter personal)
5.35 18.2.1 Revizuirea (Analizarea) independentă a securității informației
5.36 18.2.2, 18.2.3 Conformarea cu politicile, regulile și standardele pentru securitatea
informației
5.37 12.1.1 Proceduri operaționale documentate
3
Mijloace de control aferente persoanelor
6.1 07.1.1 Verificare
6.2 07.1.2 Termeni și condiții de angajare
6.3 07.2.2 Conștientizarea, educație și instruire cu privire la securitatea informației
6.4 07.2.3 Proces disciplinar
6.5 07.3.1 Responsabilități după încetarea sau schimbarea contractului de muncă
6.6 13.2.4 Acorduri de confidențialitate și nedezvăluire
6.7 06.2.2 Lucrul de la distanță
6.8 16.1.2, 16.1.3 Raportarea evenimentelor de securitate a informației
4
Mijloace de control fizice
7.1 11.1.1 Perimetre de securitate fizică
7.2 11.1.2, 11.1.6 Intrarea (accesul) fizică
7.3 11.1.3 Securizarea birourilor, încăperilor și echipamentelor
7.4 Nou Supravegherea securității fizice
7.5 11.1.4 Protecția împotriva amenințărilor fizice și de mediu
7.6 11.1.5 Lucrul în zone securizate
7.7 11.2.9 Birou curat și ecran curat
7.8 11.2.1 Amplasarea și protecția echipamentelor
7.9 11.2.6 Securitatea activelor în afara sediului
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Suporturi de stocare
7.11 11.2.2 Utilități suport
7.12 11.2.3 Securitatea cablajului
7.13 11.2.4 Mentenanța echipamentelor
7.14 11.2.7 Eliminarea sau reutilizarea securizata a echipamentelor
5
Mijloace de control tehnologice
8.1 06.2.1, 11.2.8 Dispozitive terminale ale utilizatorului
8.2 09.2.3 Drepturi de acces privilegiat
8.3 09.4.1 Restricționarea accesului la informații
8.4 09.4.5 Acces la codul sursă
8.5 09.4.2 Autentificare securizată
8.6 12.1.3 Managementul capacității
8.7 12.2.1 Protecție împotriva malware
8.8 12.6.1, 18.2.3 Managementul vulnerabilităților tehnice
8.9 Nou Managementul configurației
8.10 Nou Ștergerea informațiilor
8.11 Nou Mascarea datelor
8.12 Nou Prevenirea scurgerii de date
8.13 12.3.1 Copie de siguranță a (backup) informației
8.14 17.2.1 Redundanța mijloacelor de prelucrare a informației
8.15 12.4.1, 12.4.2, 12.4.3 (Înregistrarea evenimentelor) Logging
8.16 Nou Activități de monitorizare (supraveghere)
6
Mijloace de control tehnologice

8.17 12.4.4 Sincronizarea ceasului
8.18 09.4.4 Utilizarea programelor utilitare privilegiate
8.19 12.5.1, 12.6.2 Instalarea software-ului pe sisteme operaționale
8.20 13.1.1 Securitatea rețelelor
8.21 13.1.2 Securitatea serviciilor de rețea
8.22 13.1.3 Separarea rețelelor
8.23 Nou Filtrare web
8.24 10.1.1, 10.1.2 Utilizarea criptării
8.25 14.2.1 Ciclul de viață al dezvoltării securizate
8.26 14.1.2, 14.1.3 Cerințe de securitate a aplicației
8.27 14.2.5 Arhitectura sistemului securizat și principiile de inginerie
8.28 Nou Codare securizată
8.29 14.2.8, 14.2.9 Testarea securității în dezvoltare și acceptare
8.30 14.2.7 Dezvoltare externalizată
8.31 12.1.4, 14.2.6 Separarea mediilor de dezvoltare, testare și operare
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Managementul schimbărilor
8.33 14.3.1 Informație de testare
8.34 12.7.1 Protejarea sistemelor informaționale în timpul testării de audit
7
5. Mijloace de control organizaționale
5.1 Politici de securitatea informației
Mijloc de control
• Politica de securitate a informației și politicile specifice trebuie să fie definite, aprobate
de management, publicate, comunicate și cunoscute de membrii personalului relevant
și de părțile interesate relevante și trebuie sa fie analizate la intervale planificate și
atunci când apar modificări semnificative.
Obiectiv
• Să asigure în mod continuu caracterul corespunzător, adecvat și eficacitatea
îndrumării și sprijinului managementului pentru securitatea informației în
conformitate cu cerințele de afaceri, legale, statutare, reglementate și contractuale.
Tip de mijloc Proprietăți ale Concepte de Capabilități Domenii de securitate

de securității securitate operaționale
control informației cibernetică
#Preventiv #Confidențialitate #Identificare #Guvernanță #Guvernanță și Ecosistem
#Integritate #Reziliență
#Disponibilitate
8
5.2 Roluri și responsabilității privind securitatea informației
Mijloc de control
•Rolurile și responsabilitățile în materie de securitate a informațiilor trebuie definite și alocate,
funcție de nevoile organizației.
Obiectiv
•Să stabilească o structură definită, aprobată și înțeleasă pentru implementarea, operarea și
managementul securității informației în cadrul organizației.
Tip de mijloc de Proprietăți ale securității Concepte de Capabilități Domenii de securitate

control informației securitate cibernetică operaționale
#Integritate #Reziliență
#Disponibilitate
5.3 Separarea sarcinilor

Mijloc de control
• Sarcinile și domeniile de responsabilitate aflate in conflict trebuie să fie separate.
Obiectiv
• Să reducă riscul de fraudă, eroare și ocolire a mijloacele de control al securității informației.
Tip de mijloc de Proprietăți ale securității Concepte de securitate Capabilități operaționale Domenii de securitate
#Preventiv #Confidențialitate #Protecție #Guvernanță #Guvernanță și
#Integritate #Identificare și management Ecosistem
#Disponibilitate acces
9
5.4 Responsabilitățile managementului
Mijloc de control
• Managementul trebuie sa solicite întregului personal să aplice securitatea informației în
conformitate cu politica de securitate a informației stabilită, cu politicile specifice și cu procedurile
organizației.
Obiectiv
• Să asigure că managementul înțelege rolul său în securitatea informației și întreprinde acțiuni
menite să se asigure că tot personalul este conștient și își îndeplinește responsabilitățile în materie
de securitate a informației.
Tip de mijloc de Proprietăți ale securității Concepte de securitate Capabilități Domenii de securitate
control informației cibernetică operaționale
#Integritate
#Disponibilitate
5.5 Contact cu autoritățile

Mijloc de control
• Organizația trebuie să stabilească și mențină contactul cu autoritățile relevante
Obiectiv
• Să asigure un flux adecvat de informații în ceea ce privește securitatea informației între
organizație și autoritățile legale, de reglementare și de supraveghere corespunzătoare.
#Preventiv #Confidențialitate #Identificare #Guvernanță #Apărare
#Corectiv #Integritate #Protejare #Reziliență
# Disponibilitate #Răspuns
#Recuperare
10
5.6 Contact cu grupuri speciale de interese
Mijloc de control
• Organizația trebuie să stabilească și să mențină contactul cu grupurile speciale de interese sau alte
forumuri și asociații profesionale specializate în securitate.
Obiectiv
• Să asigure un flux adecvat de informații în ceea ce privește securitatea informațiilor.

#Preventiv #Confidențialitate #Protejare #Guvernanță #Apărare
#Corectiv #Integritate #Răspuns
#Disponibilitate #Recuperare
5.7 Activități de culegere, procesare, prelucrare analitică și valorificare a datelor și
informațiilor privind amenințările
Mijloc de control
• Informațiile referitoare la amenințările privind securitatea informației trebuie să fie colectate și
analizate pentru a rezulta informații referitoare la amenințări.
Scop
• Să prevadă conștientizarea cu privire la mediul de amenințare a organizației, astfel încât să se poată
lua măsurile de atenuare adecvate.
Tip de mijloc de control Proprietăți ale securității Concepte de securitate Capabilități operaționale Domenii de securitate
informației cibernetică
#Preventiv #Confidențialitate #Identificare #Management amenințări #Apărare
#Detectiv #Integritate #Detectare și vulnerabilității #Reziliență
#Corectiv #Disponibilitate #Răspuns
11
5.8 Securitatea informației în managementul de proiect
Mijloc de control
• Securitatea informației trebuie să fie integrata în managementul de proiect.
Obiectiv
• Să asigure că riscurile de securitate a informației legate de proiecte și livrabile să fie abordate eficace
în managementul de proiect pe tot parcursul ciclului de viață al proiectului.
#Integritate #Protejare #Protecție
#Disponibilitate
5.9 Inventarul informațiilor și al altor resurse asociate

Mijloc de control
• Trebuie să fie întocmit și menținut la zi un inventar al informațiilor și al altor active asociate, inclusiv
proprietarii.
Obiectiv
• Să identifice informațiile organizației și alte active asociate pentru a le menține securitatea și pentru
a le atribui dreptul de proprietate adecvat.
#Preventiv #Confidențialitate #Identificare #Management active #Guvernanță și Ecosistem
#Integritate #Protecție
#Disponibilitate
12
5.10 Utilizarea acceptabilă a informațiilor și a altor resurse asociate
Mijloc de control
• Trebuie să fie identificate, documentate și implementate reguli pentru utilizarea acceptabilă precum
și procedurile pentru manipularea informațiilor și a altor active asociate.
Obiectiv
• Să asigure că informația și alte active asociate să fie protejate, utilizate și administrate în mod
corespunzător.
#Preventiv #Confidențialitate #Protejare #Management active #Guvernanță și Ecosistem
#Integritate #Protecție informație #Protecție
#Disponibilitate
5.11 Restituirea resurselor
Mijloc de control
• Personalul și alte părți interesate, după caz, trebuie să restituie toate activele organizației aflate
în posesia lor la modificarea sau încetarea contractului de muncă, a contractului sau acordului.
Obiectiv
• Să protejeze activele organizației ca parte a procesului de modificare sau de încetare a
contractului de muncă, contractului sau acordului.
Tip de mijloc de Proprietăți ale securității Concepte de Capabilități operaționale Domenii de securitate
control informației securitate cibernetică
#Preventiv #Confidențialitate #Protejare #Management active #Protecție
#Integritate
#Disponibilitate
13
5.12 Clasificarea informației
Mijloc de control
• Informațiile trebuie să fie clasificate în funcție de nevoile de securitate a informației ale organizației
pe baza confidențialității, integrității, disponibilității și cerințelor relevante ale părților interesate.
Obiectiv
• Să asigure identificarea și înțelegerea nevoilor de protecție a informației în conformitate cu
importanța acesteia pentru organizație.
#Preventiv #Confidențialitate #Identificare #Protecție informație #Protecție
#Integritate #Apărare
#Disponibilitate
5.13 Etichetarea informației

Mijloc de control
• Un set adecvat de proceduri pentru etichetarea informațiilor, trebuie sa fie dezvoltat și implementat
în conformitate cu schema de clasificare a informațiilor adoptată de organizație.
Obiectiv
• Să faciliteze comunicarea clasificării informațiilor și să sprijine automatizarea procesării și
managementul informațiilor.
#Preventiv #Confidențialitate #Protejare #Protecție informație #Apărare
#Disponibilitate
14
5.14 Transferul informațiilor
Mijloc de control
• Reguli, proceduri sau acorduri pentru transferul informațiilor trebuie să fie in vigoare, pentru toate
tipurile de facilitați de transfer din cadrul organizației și între organizație și alte părți.
Obiectiv
• Să mențină securitatea informației transferate într-o organizație precum și spre orice parte interesată
externă.
#Integritate #Protecție informație
#Disponibilitate
5.15 Controlul accesului

Mijloc de control
• Reguli pentru controlul accesului fizic și logic la informație și alte active asociate, trebuie să fie
stabilite și implementate pe baza cerințelor de afaceri și de securitate a informației.
Obiectiv
• Să asigure accesul autorizat și să prevină accesul neautorizat la informație și alte active asociate.
#Preventiv #Confidențialitate #Protejare #Management identitate și #Protecție
#Integritate acces
#Disponibilitate
15
5.16 Managementul identității
Mijloc de control
• Trebuie să fie gestionat întregul ciclu de viață al identităților.
Obiectiv
• Să permită identificarea unică a persoanelor și a sistemelor care accesează informațiile organizației
și alte active asociate și să permită atribuirea adecvată a drepturilor de acces.
#Integritate acces
#Disponibilitate
5.17 Informație de autentificare

Mijloc de control
• Alocarea și managementul informațiilor de autentificare trebuie să fie controlate printr-un proces de
management, incluzând consilierea/sfătuirea personalului cu privire la gestionarea (manipularea)
adecvată a informațiilor de autentificare.
Obiectiv
• Să asigure autentificarea corectă a entității și să se prevină eșecurile proceselor de autentificare.
#Integritate acces
#Disponibilitate
16
5.18 Drepturi de acces
Mijloc de control
• Drepturile de acces la informații și la alte active asociate trebuie să fie furnizate, analizate, modificate
și eliminate în conformitate cu politica specifica și regulile pentru controlul accesului ale organizației.
Obiectiv
• Să asigure ca accesul la informații și alte active asociate să fie definit și autorizat în conformitate cu
cerințele de afaceri.
#Preventiv #Confidențialitate #Protejare #Management identitate #Protecție
#Integritate și acces
#Disponibilitate
5.19 Securitatea informației în relațiile cu furnizorii

Mijloc de control
• Procese și proceduri trebuie să fie definite și implementate pentru a gestiona riscurile de securitate a
informației asociate cu utilizarea produselor sau serviciilor furnizorului.
Obiectiv
• Să mențină un nivel convenit al securității informației în relațiile cu furnizorii.
#Preventiv #Confidențialitate #Identificare #Securitate relații furnizor #Guvernanță și Ecosistem
#Disponibilitate
17
5.20 Abordarea securității informației în cadrul acordurilor cu furnizorii
Mijloc de control
• Cerințe relevante de securitate a informației trebuie să fie stabilite și convenite cu fiecare furnizor pe
baza tipului de relație cu furnizorul respectiv.
Obiectiv
#Disponibilitate
5.21 Managementul securității informației în lanțul de aprovizionare TIC

Mijloc de control
• Procese și proceduri trebuie să fie definite și implementate pentru a gestiona riscurile de securitate
a informației asociate lanțului de aprovizionare cu produse și servicii IT&C
Obiectiv
#Disponibilitate
18
5.22 Monitorizarea, revizuirea și managementul schimbării serviciilor furnizorilor
Mijloc de control
• Organizația trebuie să monitorizeze, să analizeze, să evalueze și să gestioneze în mod regulat
schimbările în practicile de securitate a informației ale furnizorilor și prestarea de servicii.
Obiectiv
• Să mențină un nivel convenit de securitate a informației și de prestare a serviciilor în conformitate
cu acordurile cu furnizorii.
#Preventiv #Confidențialitate #Identificare #Securitate relații #Guvernanță și Ecosistem
#Integritate furnizor #Protecție #Apărare
#Disponibilitate #Asigurare securitate informație
5.23 Securitatea informației pentru utilizarea serviciilor cloud

Mijloc de control
• Procesele de achiziție, utilizare, management și ieșire din serviciile cloud trebuie să fie stabilite în
conformitate cu cerințele de securitate a informației ale organizației.
Scop
• Să specifice și să gestioneze securitatea informației pentru utilizarea serviciilor cloud.
#Preventiv #Confidențialitate #Protecție #Securitate relații #Guvernanță și Ecosistem
#Integritate furnizor #Protecție
#Disponibilitate
19
5.24 Planificarea și pregătirea managementului incidentelor de securitate a informației
Mijloc de control
• Organizația trebuie să planifice și să pregătească managementul incidentelor de securitate a
informației prin definirea, stabilirea și comunicarea proceselor de management a incidentelor, a
rolurilor și responsabilităților.
Obiectiv
• Să asigure un răspuns rapid, eficace, consecvent și ordonat la incidentele de securitate a informației,
inclusiv comunicarea cu privire la evenimentele de securitate a informației.
#Corectiv #Confidențialitate #Răspuns #Guvernanță #Apărare
#Integritate #Recuperare #Management eveniment
#Disponibilitate Securitate informație
5.25 Evaluare și decizie cu privire la evenimentele de securitate a informației
Mijloc de control
• Organizația trebuie să evalueze evenimentele de securitate a informației și să decidă dacă acestea
urmează să fie clasificate drept incidente de securitate a informației.
Obiectiv
• Să asigure categorisirea / clasificarea eficace și stabilirea priorității evenimentelor de securitate a
informației.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Detectiv #Confidențialitate #Detectare #Management eveniment Securitate #Apărare
#Integritate #Răspuns informație
#Disponibilitate
20
5.26 Răspuns la incidentele de securitate a informației
Mijloc de control
• Incidentele de securitate a informației trebuie să primească răspuns în conformitate cu procedurile
documentate.
Obiectiv
• Să asigure un răspuns eficient și efectiv la incidentele de securitate a informației.
#Corectiv #Confidențialitate #Răspuns #Management eveniment #Apărare
#Integritate #Detectare securitate informație
#Disponibilitate
5.27 Învățare din incidentele de securitate a informației

Mijloc de control
• Trebuie să fie utilizate cunoștințele dobândite în urma incidentelor de securitate a informației pentru
a consolida și îmbunătăți mijloacele de control al securității informației.
Obiectiv
• Să reducă probabilitatea sau consecințele unor incidente viitoare.
#Preventiv #Confidențialitate #Identificare #Management eveniment #Apărare
#Integritate #Protecție securitate informație
#Disponibilitate
21
5.28 Colectarea dovezilor
Mijloc de control
• Organizația trebuie să stabilească și să implementeze proceduri pentru identificarea, colectarea,
achiziția și păstrarea dovezilor legate de evenimentele de securitate a informației.
Obiectiv
• Să asigure un management consecvent și eficace al dovezilor legate de incidentele de securitate
a informației în scopul acțiunilor disciplinare și judiciare.
#Corectiv #Confidențialitate #Detectare #Management eveniment #Apărare
#Integritate #Răspuns securitate informație
#Disponibilitate
5.29 Securitatea informației în timpul întreruperii

Mijloc de control
• Organizația trebuie să planifice cum să mențină securitatea informației la un nivel adecvat în timpul
întreruperilor/perturbărilor.
Obiectiv
• Să protejeze informația și alte active asociate în timpul întreruperilor/perturbărilor.
#Preventiv #Confidențialitate #Protecție #Continuitate # Protejare
#Corectiv #Integritate #Răspuns #Reziliență
#Disponibilitate
22
5.30 Pregătirea TIC pentru continuitatea afacerii
Mijloc de control
• Pregătirea IT&C trebuie să fie planificată, implementată, menținută și testată pe baza obiectivelor
de continuitate a activității și a cerințelor de continuitate IT&C.
Scop
• Să asigure disponibilitatea informațiilor organizației și a altor active asociate în timpul întreruperilor
#Corectiv #Disponibilitate #Răspuns #Continuitate #Reziliență
5.31 Cerințe legale, statutare, de reglementare și contractuale

Mijloc de control
• Cerințele legale, statutare, de reglementare și contractuale relevante pentru securitatea informației
și abordarea organizației pentru a îndeplini aceste cerințe trebuie să fie identificate, documentate și
menținute la zi.
Obiectiv
• Să asigure conformitatea cu cerințele legale, statutare, de reglementare și contractuale legate
de securitatea informațiilor.
#Preventiv #Confidențialitate #Identificare #Legal și conformare #Guvernanță și Ecosistem
#Disponibilitate
23
5.32 Drepturi de proprietate intelectuală
Mijloc de control
• Organizația trebuie să implementeze proceduri adecvate pentru a proteja drepturile de proprietate
intelectuală.
Obiectiv
de drepturile de proprietate intelectuală și utilizarea produselor brevetate.
#Preventiv #Confidențialitate #Identificare #Legal și conformare #Guvernanță și
#Integritate #Ecosistem
#Disponibilitate
5.33 Protecția înregistrărilor
Mijloc de control
• Înregistrările trebuie să fie protejate împotriva pierderii, distrugerii, falsificării, accesului neautorizat
și difuzării neautorizate.
Obiectiv
• Să asigure conformitatea cu cerințele legale, statutare, de reglementare și contractuale, precum și cu
așteptările comunității sau ale societății comerciale legate de protecția și disponibilitatea
înregistrărilor.
#Preventiv #Confidențialitate #Identificare #Legal și conformare #Apărare
#Integritate #Protecție #Management active
#Disponibilitate #Protecție informație
24
5.34 Viața privată și protecția PII
Mijloc de control
• Organizația trebuie să identifice și să respecte cerințele privind păstrarea confidențialității
și protecția PII în conformitate cu legile și reglementările aplicabile și cu cerințele contractuale.
Obiectiv
de aspectele de securitate a informației ale protecției PII.
Tip de mijloc de Proprietăți ale Concepte de Capabilități operaționale Domenii de securitate

control securității informației securitate cibernetică
#Preventiv #Confidențialitate #Identificare #Protecție informație #Protecție
#Integritate #Protejare #Legal și conformare
#Disponibilitate
5.35 Revizuirea independentă a securității informației
Mijloc de control
• Abordarea organizației în ceea ce privește managementul securității informației și implementarea
acestuia, inclusiv oamenii, procesele și tehnologiile, trebuie să fie analizate în mod independent la
intervalele planificate sau atunci când apar schimbări semnificative.
Obiectiv
• Să asigure in mod continuu caracterul corespunzător, adecvat și eficace a abordării organizației în
ceea ce privește managementul securității informației.
#Preventiv #Confidențialitate #Identificare #Protejare #Asigurare securitate #Guvernanță și
#Corectiv #Integritate informație Ecosistem
#Disponibilitate
25
5.36 Conformitatea cu politicile, regulile și standardele pentru securitatea informației
Mijloc de control
• Trebuie să fie analizata / revizuita în mod regulat conformarea cu politica de securitate a
informației a organizației, politicile pe subiect specific, regulile și standardele.
Obiectiv
• Să asigure că securitatea informației este implementată și funcționează în conformitate cu
politica de securitate a informației a organizației, politicile specifice subiectului, regulile și
standardele
#Preventiv #Confidențialitate #Identificare #Protejare Legal și conformare #Guvernanță și
#Integritate #Asigurare securitate informație Ecosistem
#Disponibilitate
5.37 Proceduri operaționale documentate

Mijloc de control
• Procedurile operaționale pentru echipamentele de prelucrare a informației trebuie să fie
documentate și puse la dispoziția personalului care are nevoie de ele.
Obiectiv
• Să asigure funcționarea corectă și sigură a echipamentelor de prelucrare a informației.
#Preventiv #Confidențialitate #Protejare #Management active #Guvernanță și Ecosistem
#Corectiv #Integritate #Securitate fizică #Protecție
#Recuperare
#Disponibilitate #Securitate sistem și rețea #Apărare
#Securitate aplicație
#Configurare securizată
#Management identitate și acces
#Management amenințare și
vulnerabilitate
#Continuitate
#Management eveniment securitate
informație
26
6. Mijloace de control aferente persoanelor
6.1 Verificare
Mijloc de control
• Activitățile de verificare a antecedentelor pentru toți candidații care vor deveni membri
ai personalului trebuie sa fie efectuate înainte de a se alătură organizației și în mod continuu
luând in considerare legile, reglementările și etica aplicabile să fie proporționale cu cerințele
de afaceri, clasificarea informațiilor la care urmează să aibă acces și cu riscurile percepute.
Obiectiv
• Să asigure faptul că toți membrii personalului sunt eligibili și corespunzători pentru
rolurile avute în vedere și rămân eligibili și corespunzători pe durata angajării lor.

control securității informației securitate
cibernetică
#Preventiv #Confidențialitate #Protejare #Securitate resurse umane #Guvernanță și Ecosistem
#Integritate
#Disponibilitate
27
6.2 Termeni și condiții de angajare
Mijloc de control
• Acordurile contractuale de muncă trebuie să precizeze responsabilitățile personalului și ale
organizației privind securitatea informației.
Obiectiv
• Să asigure faptul că membri personalul își înțeleg responsabilitățile privind securitatea informației
pentru rolurile pentru care au fost angajați.
#Preventiv #Confidențialitate #Protejare #Securitate resurse #Guvernanță și Ecosistem
#Integritate umane
#Disponibilitate
6.3 Conștientizarea, educare și instruire cu privire la securitatea informației

Mijloc de control
•Personalul organizației și părțile interesate relevante trebuie să beneficieze de conștientizare, educație
și instruire corespunzătoare în materie de securitate a informațiilor și actualizări regulate ale politicii de
securitate a informațiilor a organizației, politicilor și procedurilor specifice, după cum sunt relevante
pentru funcția lor.
Obiectiv
•Să asigure faptul că membri personalul și ai părților interesate corespunzătoare cunosc și își îndeplinesc
responsabilitățile privind securitatea informației.
#Integritate
#Disponibilitate
28
6.4 Proces disciplinar
Mijloc de control
• Trebuie să fie implementat și comunicat un proces disciplinar oficial pentru a lua măsuri împotriva
personalului și a altor părți interesate relevante care au comis o încălcare a politicii de securitate a
informațiilor.
Obiectiv
• Să asigure faptul că membrii personalului și ai altor părți interesate corespunzătoare înțeleg
consecințele încălcării politicii de securitate a informației, având scopul a descuraja și a trata în mod
adecvat membrii personalului și ai altor părți interesate corespunzătoare care au comis încălcarea.
#Corectiv #Integritate #Răspuns
#Disponibilitate
6.5 Responsabilități după încetarea sau schimbarea contractului de muncă

Mijloc de control
• Responsabilitățile și îndatoririle privind securitatea informației care rămân valabile după încetarea
sau schimbarea contractului de muncă trebuie sa fie să fie definite, aplicate și comunicate
personalului relevant și ai altor părți interesate
Obiectiv
• Să asigure protejarea intereselor organizației ca parte a procesului de încetare sau schimbare a
contractului de muncă.
#Preventiv #Confidențialitate #Protejare #Securitate resurse #Guvernanță și
#Integritate umane Ecosistem
#Disponibilitate #Management active
29
6.6 Acorduri de confidențialitate și nedezvăluire
Mijloc de control
• Acordurile de confidențialitate sau de nedezvăluire care reflectă nevoile organizației de protecție a
informațiilor trebuie să fie identificate, documentate, analizate / revizuite în mod regulat și semnate
de membri personalului și ai altor părți interesate relevante.
Obiectiv
• Să asigure menținea confidențialității informațiilor accesibile de către membrii personalului sau ai
părților externe.
#Preventiv #Confidențialitate #Protejare #Securitate resurse umane #Guvernanță și
#Protecție informație Ecosistem
#Relații furnizor
6.7 Lucrul de la distanță
Mijloc de control
• Trebuie să fie implementate măsuri de securitate atunci când personalul lucrează de la distanță
pentru a proteja informațiile accesate, procesate sau stocate în afara sediului organizației.
Obiectiv
• Să asigure securitatea informației atunci când personalul lucrează de la distanță.
control securității informației securitate cibernetică
#Disponibilitate informație
#Securitate fizică
#Securitate sistem
și rețea
30
6.8 Raportarea evenimentelor de securitate a informației
Mijloc de control
• Organizația trebuie să furnizeze un mecanism pentru ca personalul să raporteze în timp util
evenimentele observate sau suspectate legate de securitatea informației prin canale adecvate.
Obiectiv
• Să sprijine raportarea la timp, consecventă și eficace a evenimentelor de securitatea informației

care pot fi identificate de personal.
#Detectiv #Confidențialitate #Detectare #Management eveniment de #Apărare
#Integritate securitate a informației
#Disponibilitate
31
7. Mijloace de control fizice
7.1 Perimetre de securitate fizică
Mijloc de control
• Perimetrele de securitate trebuie definite și utilizate pentru a proteja zonele care
conțin informații și alte active asociate.
Obiectiv
• Să prevină accesul fizic neautorizat, deteriorarea și intervenția asupra informațiilor
organizației și a altor active asociate.
#Preventiv #Confidențialitate #Protejare #Securitate fizică #Protecție
#Integritate
#Disponibilitate
32
7.2 Intrarea fizică
Mijloc de control
• Zonele securizate trebuie să fie protejate prin mijloace de control la intrare și puncte de acces adecvate.
Obiectiv
• Să asigure numai accesul fizic autorizat la informațiile organizației și la alte active asociate.
#Preventiv #Confidențialitate #Protejare #Securitate_fizică #Protecție
#Integritate #Management identitate și
#Disponibilitate acces
7.3 Securizarea birourilor, încăperilor și echipamentelor

Mijloc de control
• Trebuie proiectata și implementata securitatea fizica pentru birouri, încăperi și echipamente.
Obiectiv
• Să prevină accesul fizic neautorizat, deteriorarea și intervenirea asupra informațiilor organizației
și a altor active asociate în birouri, încăperi și la echipamente.
#Integritate #Management active
#Disponibilitate
33
7.4 Supravegherea securității fizice
Mijloc de control
• Spatiile trebuie să fie supravegheate continuu având în vedere accesul fizic neautorizat.
Scop
• Să detecteze și să descurajeze accesul fizic neautorizat.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități Domenii de securitate

control securității informației cibernetică operaționale
#Detectiv #Integritate #Detectare #Apărare
#Disponibilitate
7.5 Protecția împotriva amenințărilor fizice și de mediu

Mijloc de control
• Protecția împotriva amenințărilor fizice și de mediu, cum ar fi dezastrele naturale și alte amenințări
fizice intenționate sau neintenționate asupra infrastructurii trebuie să fie proiectata și implementată.
Obiectiv
• Să prevină sau să reducă consecințele evenimentelor care decurg din amenințările fizice și de mediu

#Integritate
#Disponibilitate
34
7.6 Lucrul în zone securizate
Mijloc de control
• Trebuie să fie proiectate și implementate măsuri de securitate pentru lucrul în zone securizate.
Obiectiv
• Să protejeze informațiile și alte active asociate din zonele securizate, de daune și intervenții
neautorizate din partea personalului care lucrează în aceste zone.
#Integritate
#Disponibilitate
7.7 Birou curat și ecran curat

Mijloc de control
• Trebuie să fie definite și aplicate în mod corespunzător regulile cu privire la birou curat de hârtii și
suporturi de stocare amovibile și reguli cu privire la ecran curat pentru mijloacele de prelucrare a
informațiilor.
Obiectiv
• Să reducă riscurile de acces neautorizat, de pierdere și deteriorare a informațiilor de pe birouri,
ecrane și din alte locuri accesibile în timpul și în afara programului normal de lucru.
35
7.8 Amplasarea și protecția echipamentelor
Mijloc de control
• Echipamentele trebuie să fie amplasate astfel încât datele să fie în siguranță și protejate.
Obiectiv
• Să reducă riscurile cauzate de amenințările fizice și de mediu, precum și de accesul neautorizat și
deteriorare.
cibernetică
#Disponibilitate
7.9 Securitatea resurselor în afara perimetrului organizației

Mijloc de control
• Trebuie protejate activele în afara sediului organizației.
Obiectiv
• Să prevină pierderea, deteriorarea, furtul sau compromiterea dispozitivelor în afara sediului și la
întreruperea operațiilor organizației.

cibernetică
#Integritate Management active
#Disponibilitate
36
7.10 Suporturi de stocare
Mijloc de control
• Suporturile de stocare trebuie să fie gestionate pe parcursul ciclului lor de viață de achiziție,
utilizare, transport și eliminare în conformitate cu schema de clasificare și cu cerințele de
manipulare organizației.
Obiectiv
• Să asigure numai dezvăluirea, modificarea, eliminarea sau distrugerea autorizată a informațiilor de pe
mediile de stocare.
cibernetică
#Disponibilitate
7.11 Utilități suport

Mijloc de control
• Mijloacele de prelucrare a informațiilor trebuie să fie protejate de întreruperile de curent și alte
întreruperi cauzate de defecțiuni ale utilităților suport.
Obiectiv
• Să prevină pierderea, deteriorarea sau compromiterea informațiilor și a altor active asociate
sau întreruperea operațiilor organizației din cauza defectării și întreruperii utilităților suport.
cibernetică
#Preventiv #Integritate #Protejare #Securitate fizică #Protecție
#Detectiv #Disponibilitate #Detectare
37
7.12 Securitatea cablării
Mijloc de control
• Cablurile de alimentare cu energie electrică, de date sau care susțin servicii de support pentru
informații trebuie protejate împotriva interceptării, interferențelor sau deteriorării.
Obiectiv
• Să prevină pierderea, deteriorarea, furtul sau compromiterea informațiilor și a altor active

asociate și întreruperea operațiilor organizației legate de cablajul de alimentare și de
comunicații
#Preventiv #confidențialitate #Protejare #Securitate fizică #Protecție
#Disponibilitate
7.13 Mentenanța echipamentelor

Mijloc de control
• Echipamentele trebuie să fie supuse mentenanței în mod corect pentru a se asigura
disponibilitatea, integritatea și confidențialitatea informațiilor.
Obiectiv
• Să prevină pierderea, deteriorarea, furtul sau compromiterea informațiilor și a altor active asociate
și întreruperea operațiilor organizației cauzate de lipsa mentenanței.
#Integritate #Management active #Reziliență
#Disponibilitate
38
7.14 Eliminarea sau reutilizarea securizată a echipamentelor
Mijloc de control
• Elementele echipamentelor care conțin suporturi de stocare trebuie să fie verificate pentru a se
asigura că toate datele sensibile și software-ul licențiat au fost îndepărtate sau suprascrise în mod
securizat înainte de eliminare sau reutilizare.
Obiectiv
• Să prevină scurgerea de informații din echipamentele care urmează să fie eliminate sau reutilizate.
•
#Management active
39
8. Mijloace de control tehnologice
8.1 Dispozitive terminale ale utilizatorului
Mijloc de control
• Informațiile stocate pe dispozitivele terminale ale utilizatorului, procesate sau accesibile
prin intermediul acestora trebuie sa fie protejate.
Obiectiv
• Să protejeze informațiile împotriva riscurilor introduse prin utilizarea dispozitivelor
terminale ale utilizatorului.
#Integritate
#Disponibilitate
40
8.2 Drepturi de acces privilegiat
Mijloc de control
• Alocarea și utilizarea drepturilor de acces privilegiat trebuie să fie restricționate și gestionate.
Obiectiv
• Să asigure că numai utilizatorii, componentele software și serviciile autorizate beneficiază de
drepturi de acces privilegiat.
#Preventiv #Confidențialitate #Protejare #Management Identitate și #Protecție
#Integritate acces
#Disponibilitate
8.3 Restricționarea accesului la informații

Mijloc de control
• Accesul la informații și la alte active asociate trebuie să fie restricționat în conformitate cu politica
specifica stabilită privind controlul accesului.
Obiectiv
• Să asigure numai accesul autorizat și să prevină accesul neautorizat la informații și alte active asociate.
#Integritate acces
#Disponibilitate
41
8.4 Acces la codul sursă
Mijloc de control
• Accesul la citirea și scrierea codului sursă, instrumentele de dezvoltare și bibliotecile de
software trebuie să fie gestionat corespunzător.
Obiectiv
• Să prevină introducerea de funcționalități neautorizate, să evite modificările neintenționate sau
rău intenționate și să mențină confidențialitatea proprietății intelectuale de valoare.
cibernetică
#Preventiv #Confidențialitate #Protejare #Management Identitate și acces #Protecție
#Integritate Securitate aplicație
#Disponibilitate Configurație sigură
8.5 Autentificare securizată
Mijloc de control
• Tehnologiile și procedurile de autentificare securizată trebuie să fie implementate pe baza
restricțiilor de acces la informații și a politicii specifice privind controlul accesului.
Obiectiv
• Să asigure ca un utilizator sau o entitate este autentificat(a) în mod securizat, atunci când este acordat
accesul la sisteme, aplicații și servicii
#Integritate acces
#Disponibilitate
42
8.6 Managementul capacității
Mijloc de control
• Utilizarea resurselor trebuie să fie monitorizată și ajustată în funcție de cerințele actuale și preconizate
de capacitate.
Obiectiv
• Să asigure capacitatea necesară de mijloace de prelucrare a informațiilor, resurse umane, birouri și alte
facilități.
cibernetică
#Preventiv #Integritate #Identificare #Continuitate #Guvernanță și
#Detectiv #Disponibilitate #Protejare Ecosistem
#Detectare #Protecție
8.7 Protecție împotriva malware

Mijloc de control
• Protecția împotriva programelor malware trebuie să fie implementată și susținută prin
conștientizarea adecvată a utilizatorilor.
Obiectiv
• Să asigure că informațiile și alte active asociate să fie protejate împotriva malware.
cibernetică
#Preventiv #Confidențialitate #Protejare #Securitate sistem și rețea #Protecție
#Detectiv #Integritate #Detectare #Protecție informație #Apărare
#Corectiv #Disponibilitate
43
8.8 Managementul vulnerabilităților tehnice
Mijloc de control
• Informațiile referitoare la vulnerabilitățile tehnice ale sistemelor informaționale utilizate, trebuie
să fie obținute, expunerea organizației la astfel de vulnerabilități trebuie sa fie evaluata și să fie luate
măsurile adecvate.
Obiectiv
• Să prevină exploatarea vulnerabilităților tehnice
cibernetică
#Preventiv #Confidențialitate #Identificare #Management amenințare și #Guvernanță și Ecosistem
#Integritate #Protejare vulnerabilitate #Protecție
#Disponibilitate
#Apărare
8.9 Managementul configurației
Mijloc de control
• Configurațiile, inclusiv configurațiile de securitate, ale hardware-ului, software-ului, serviciilor
și rețelelor trebuie să fie stabilite, documentate, implementate, monitorizate și analizate.
Scop
• Să asigure că hardware-ul, software-ul, serviciile și rețelele să funcționeze corect cu setările de
securitate necesare și ca configurația să nu fie modificată de modificări neautorizate sau incorecte.
#Preventiv #Confidențialitate #Protejare #Configurare securizare #Protecție
#Integritate
#Disponibilitate
44
8.10 Ștergerea informațiilor
Mijloc de control
• Informațiile stocate în sistemele informatice, pe dispozitive sau pe orice alt suport de stocare trebuie
să fie șterse atunci când nu mai sunt necesare.
Scop
• Să prevină expunerea inutilă a informațiilor sensibile și să respecte cerințele legale, statutare, de
reglementare și contractuale pentru ștergerea informațiilor.
#Preventiv #Confidențialitate #Protejare #Protecție informație #Protecție
#Cerinte legale și
conformare
8.11 Mascarea datelor

Mijloc de control
• Mascarea datelor trebuie să fie utilizată în conformitate cu politica organizației privind controlul
accesului și alte politici specifice și cu cerințele de afaceri, ținând cont de legislația aplicabilă.
Scop
• Să se limiteze expunerea datelor sensibile, inclusiv a datelor cu caracter personal și să se respecte
cerințele legale, statutare, de reglementare și contractuale.
45
8.12 Prevenirea scurgerii de date
Mijloc de control
• Măsurile de prevenire a scurgerii datelor trebuie să se aplice sistemelor, rețelelor și oricăror alte
dispozitive care prelucrează, stochează sau transmit informații sensibile.
Scop
• Să detecteze și să prevină dezvăluirea și extragerea neautorizată a informațiilor de persoane sau sisteme.
Tip de mijloc de control Proprietăți ale Concepte de securitate Capabilități Domenii de securitate
securității informației cibernetică operaționale
#Detectare #Apărare
8.13 Copie de siguranță (backup) a informației

Mijloc de control
• Copiile de siguranță ale informațiilor, software-ului și sistemelor trebuie să fie menținute și
testate periodic în conformitate cu politica specifica convenită cu privire la copiile de siguranță.
Obiectiv
• Să permită recuperarea după pierderea datelor sau a sistemelor.
#Corectiv #Confidențialitate # Recuperare #Continuitate #Protecție
#Disponibilitate
46
8.14 Redundanța mijloacelor de prelucrare a informației
Mijloc de control
• Mijloacele de procesare a informației trebuie să fie implementate cu o redundanță suficientă pentru
a îndeplini cerințele de disponibilitate.
Obiectiv
• Să asigure funcționarea continuă a mijloacelor de prelucrare a informațiilor.
#Preventiv #Disponibilitate #Protejare #Continuitate #Protecție
#Management active #Reziliență
8.15 Jurnalizare
Mijloc de control
• Jurnalele de evenimente care înregistrează activități, excepții, defecțiunile și alte evenimente
relevante trebuie sa fie realizate, păstrate, protejate și analizate
Obiectiv
• Să înregistreze evenimente, să genereze dovezi, să asigure integritatea informațiilor din jurnalele de
evenimente, să prevină accesul neautorizat, să identifice evenimentele de securitate a informațiilor
care pot conduce la un incident legat de securitatea informației și să sprijine investigațiile.
#Detectiv #Confidentialitate #Detectare #Management eveniment #Protecție
#Integritate securitate informație #Apărare
#Disponibilitate
47
8.16 Activități de monitorizare
Mijloc de control
• Rețelele, sistemele și aplicațiile trebuie monitorizate pentru comportamentul anormal și trebuie
luate masuri adecvate pentru a evalua potențialele incidente privind securitatea informației.
Obiectiv
• Să detecteze comportamentul anormal și potențialele incidente privind securitatea informației.
#Detectiv #Confidentialitate #Detectare #Management eveniment #Apărare
#Corectiv #Integritate #Răspuns securitate informație
#Disponibilitate
8.17 Sincronizarea ceasului

Mijloc de control
• Ceasurile sistemelor de prelucrare a informației utilizate de organizație trebuie sa fie sincronizate cu
surse de timp aprobate
Obiectiv
• Să permită corelarea și analiza evenimentelor privind securitatea și a altor date înregistrate și
pentru a sprijini investigațiile legate de incidentele de securitate a informației.
#Detectiv #Integritate #Protejare #Management eveniment #Protecție
#Detectare securitate informație #Apărare
48
8.18 Utilizarea programelor utilitare privilegiate
Mijloc de control
• Utilizarea programelor utilitare care pot fi capabile să depășească controalele sistemului și al
aplicațiilor trebuie să fie restricționată și strict controlată.
Obiectiv
• Să asigure că utilizarea programelor utilitare nu dăunează mijloacelor de control ale sistemului și
aplicațiilor pentru securitatea informației.
#Preventiv #Confidentialitate #Protejare #Securitate sistem și rețea #Protecție
#Integritate #Configurare securizată
#Disponibilitate #Securitate aplicație
8.19 Instalarea software-ului pe sisteme operaționale

Mijloc de control
• Trebuie implementate proceduri și măsuri pentru a gestiona în siguranță instalarea software-
ului pe sistemele operaționale.
Obiectiv
• Să asigure integritatea sistemelor operaționale și să prevină exploatarea vulnerabilităților tehnice.
#Integritate #Configurare securizată
#Disponibilitate #Securitate aplicație
49
8.20 Securitatea rețelelor
Mijloc de control
• Rețelele și dispozitivele de rețea trebuie securizate, gestionate și controlate pentru a proteja
informațiile din sisteme și aplicații.
Obiectiv
• Să protejeze informația din rețele și mijloacele sale de suport de prelucrare a informației pentru a nu
fi compromisă prin intermediul rețelei.
#Detectiv #Integritate #Detectare
#Disponibilitate
8.21 Securitatea serviciilor de rețea

Mijloc de control
• Mecanismele de securitate, nivelul serviciilor și cerințele de servicii ale serviciilor de rețea trebuie sa
fie identificate, implementate și monitorizate.
Obiectiv
• Să asigure securitatea în utilizarea serviciilor de rețea.
#Integritate
#Disponibilitate
50
8.22 Separarea rețelelor
Mijloc de control
• Grupurile de servicii informaționale, utilizatorii și sistemele informaționale din cadrul organizației
trebuie sa fie separate în rețele diferite in cadrul organizatiei
Obiectiv
• Să împartă rețeaua în limite de securitate și pentru a controla traficul dintre acestea în funcție de nevoile
afacerii.
#Integritate
#Disponibilitate
8.23 Filtrare web

Mijloc de control
• Trebuie sa se aplice un management al accesului la site-uri web externe pentru a reduce
expunerea la un conținut rău intenționat.
Obiectiv
• Să protejeze sistemele de a nu fi compromise de programe malware și să prevină
accesul la resurse web neautorizate.
Tip de mijloc de control Proprietăți ale securității Concepte de securitate Capabilități Domenii de securitate
informației cibernetică operaționale
#Preventiv #Confidentialitate #Protejare #Securitate sistem și #Protecție
#Integritate rețea
#Disponibilitate
51
8.24 Utilizarea criptării
Mijloc de control
• Trebuie să fie definite și implementate reguli pentru utilizarea eficace a criptării, inclusiv
administrarea cheilor criptografice.
Obiectiv
• Să asigure utilizarea corectă și eficace a criptării pentru a proteja confidențialitatea, autenticitatea
sau integritatea informației în conformitate cu cerințele de afaceri și de securitate a informațiilor și
luând în considerare cerințele legale, statutare, de reglementare și contractuale legate de criptare.
#Preventiv #Confidentialitate #Protejare #Securitate configurare #Protecție
#Integritate
#Disponibilitate
8.25Ciclul de viață al dezvoltării securizate

Mijloc de control
• Trebuie să fie stabilite și aplicate regulile pentru dezvoltarea securizată a software-ului și a sistemelor.
Obiectiv
• Să asigure că securitatea informației este concepută și implementată în cadrul ciclului de viață al
dezvoltării securizate a software-ul și sistemelor.
#Preventiv #Confidentialitate #Protejare #Securitate aplicație #Protecție
#Integritate #Securitate sistem și rețea
#Disponibilitate
52
8.26 Cerințe de securitate a aplicației
Mijloc de control
• Cerințele de securitate a informației trebuie identificate, specificate și aprobate atunci când se
dezvolta sau se achiziționează aplicații.
Obiectiv
• Să asigure că toate cerințele de securitate a informației sunt identificate și abordate atunci când se
dezvolta sau se achiziționează aplicații.
#Integritate #Securitate sistem și rețea #Apărare
#Disponibilitate
8.27 Principii privind arhitectura și ingineria sistemelor securizate

Mijloc de control
• Principiile pentru ingineria sistemelor securizate trebuie stabilite, documentate, menținute și
aplicate oricăror activități de dezvoltare a sistemului informatic
Obiectiv
• Să asigure că sistemele informaționale sunt proiectate, implementate și utilizate în mod securizat în
timpul ciclului de viață al dezvoltării.
#Disponibilitate
53
8.28 Codare securizată
Mijloc de control
• Principiile de codare securizată trebuie aplicate la dezvoltarea software.
Scop
• Să asigure că software-ul este scris securizat, reducând astfel numărul potențialelor
vulnerabilități de securitate a informațiilor din software.
Tip de mijloc de control Proprietăți ale securității Concepte de Capabilități operaționale Domenii de securitate
informației securitate cibernetică
#Disponibilitate
8.29 Testarea securității în dezvoltare și acceptare

Mijloc de control
• Procesele de testare a securității trebuie definite și implementate în ciclul de viață al dezvoltării.
Obiectiv
• Să valideze dacă cerințele de securitate a informației sunt îndeplinite atunci când aplicațiile
sau codul sunt implementate în mediul de operare.
#Preventiv #Confidentialitate #Identificare #Securitate aplicație #Protecție
#Integritate #Asigurare Securitate informație
#Disponibilitate #Securitate sistem și rețea
54
8.30 Dezvoltare externalizată
Mijloc de control
• Organizația trebuie să orienteze, monitorizeze și să analizeze/revizuiască direct activitățile legate
de dezvoltarea externalizată a sistemului
Obiectiv
• Să asigure că măsurile de securitate a informației cerute de organizație sunt implementate în
dezvoltarea externalizată a sistemului
#Preventiv #Confidentialitate #Identificare #Securitate sistem și rețea #Guvernare și Ecosistem
#Detectiv #Integritate #Protejare #Detectare #Securitate aplicație #Protecție
#Disponibilitate #Securitate relații
furnizor
8.31 Separarea mediilor de dezvoltare, testare și operare

Mijloc de control
• Mediile de dezvoltare, testare și operare trebuie separate si securizate
Obiectiv
• Să protejeze mediul de operare și datele împotriva compromiterii prin activitățile de dezvoltare și testare.
#Disponibilitate
55
8.32 Managementul schimbărilor
Mijloc de control
•Schimbările aduse mijloacelor de prelucrare a informațiilor și sistemelor de informații trebuie să facă
obiectul procedurilor de management al schimbării
Obiectiv
•Să păstreze securitatea informației la efectuarea schimbărilor.
#Disponibilitate
8.33 Informație de testare

Mijloc de control
• Informațiile pentru testare trebuie selectate, protejate și gestionate în mod corespunzător.
Obiectiv
• Să asigure relevanța testării și protecția informațiilor operaționale utilizate pentru testare.
#Preventiv #Confidentialitate #Protejare #Protecție informație #Protecție
#Integritate
56
8.34 Protejarea sistemelor informaționale în timpul testării de audit
Mijloc de control
• Testele de audit și alte activități de asigurare care implică evaluarea sistemelor operaționale trebuie
să fie planificate și convenite între responsabilul de testare și managementul corespunzător.
Obiectiv
• Să minimizeze impactul auditului și al altor activități de asigurare asupra sistemelor operaționale
și proceselor de afaceri.

cibernetică
#Preventiv #Confidentialitate #Protejare #Securitate sistem și rețea #Guvernanță și Ecosistem
#Integritate #Protecție informație #Protecție
#Disponibilitate
57
Tranziția la ediția din 2022
Calendarul tranziției a fost stabilit în documentul IAF MD 26:2022
Perioada de tranziție este de 3 ani, adică se va finaliza la 31.10.2025
Activitate Termen
Organismul de acreditare (OA)
OA va fi gata să evalueze ISO/IECIEC 27001: 2022 nu 6 luni de la ultima zi a lunii de publicare a ISO/IEC
mai târziu de 27001:2022 (adică 30 aprilie 2023)
Evaluarea inițială de către OC conform ISO/IEC 6 luni de la ultima zi a lunii de publicare a ISO/IEC
27001:2022 va începe cel târziu 27001:2022 (adică 30 aprilie 2023)
Tranzițiile acreditarilor OC în vigoare vor fi finalizate de 12 luni de la ultima zi a lunii de publicare a ISO/IEC
OA în 27001:2022 (adică 31 octombrie 2023)
Organismul de certificare acreditat (OC)

Certificările inițiale ale SMSI de către OC conform 12 luni de la ultima zi a lunii de publicare a ISO/IEC
ISO/IEC 27001: 2022 vor începe cel târziu la 27001:2022 (adică 31 octombrie 2023)
Tranziția certificărilor SMSI ale clienților certificați de 36 de luni de la ultima zi a lunii de publicare a ISO/IEC
OC vor fi finalizate în maxim 27001:2022 (adică 31 octombrie 2025)
58

Anexa A La ISO 27001 - 2022

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Anexa A La ISO 27001 - 2022

Încărcat de

Drepturi de autor:

Formate disponibile

Anexa A (normativă)

Mijloacele de control aferente securității informațiilor

Mijloace de control organizaționale (II)

Mijloace de control tehnologice

Tip de mijloc Proprietăți ale Concepte de Capabilități Domenii de securitate

Tip de mijloc de Proprietăți ale securității Concepte de Capabilități Domenii de securitate

5.3 Separarea sarcinilor

5.5 Contact cu autoritățile

Tip de mijloc de Proprietăți ale securității Concepte de Capabilități Domenii de securitate

5.9 Inventarul informațiilor și al altor resurse asociate

5.13 Etichetarea informației

5.15 Controlul accesului

5.17 Informație de autentificare

5.19 Securitatea informației în relațiile cu furnizorii

5.21 Managementul securității informației în lanțul de aprovizionare TIC

5.23 Securitatea informației pentru utilizarea serviciilor cloud

5.27 Învățare din incidentele de securitate a informației

5.29 Securitatea informației în timpul întreruperii

5.31 Cerințe legale, statutare, de reglementare și contractuale

Tip de mijloc de Proprietăți ale Concepte de Capabilități operaționale Domenii de securitate

5.37 Proceduri operaționale documentate

Tip de mijloc de Proprietăți ale Concepte de Capabilități operaționale Domenii de securitate

6.3 Conștientizarea, educare și instruire cu privire la securitatea informației

6.5 Responsabilități după încetarea sau schimbarea contractului de muncă

• Să sprijine raportarea la timp, consecventă și eficace a evenimentelor de securitatea informației

7.1 Perimetre de securitate fizică

7.3 Securizarea birourilor, încăperilor și echipamentelor

Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități Domenii de securitate

7.5 Protecția împotriva amenințărilor fizice și de mediu

Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități Domenii de securitate

7.7 Birou curat și ecran curat

7.9 Securitatea resurselor în afara perimetrului organizației

Tip de mijloc de Proprietăți ale Concepte de Capabilități operaționale Domenii de securitate

7.11 Utilități suport

• Să prevină pierderea, deteriorarea, furtul sau compromiterea informațiilor și a altor active

7.13 Mentenanța echipamentelor

8.3 Restricționarea accesului la informații

8.7 Protecție împotriva malware

8.11 Mascarea datelor

8.13 Copie de siguranță (backup) a informației

8.17 Sincronizarea ceasului

8.19 Instalarea software-ului pe sisteme operaționale

8.21 Securitatea serviciilor de rețea

8.23 Filtrare web

8.25Ciclul de viață al dezvoltării securizate

8.27 Principii privind arhitectura și ingineria sistemelor securizate

8.29 Testarea securității în dezvoltare și acceptare

8.31 Separarea mediilor de dezvoltare, testare și operare

8.33 Informație de testare

Tip de mijloc de Proprietăți ale Concepte de Capabilități operaționale Domenii de securitate

Perioada de tranziție este de 3 ani, adică se va finaliza la 31.10.2025

Organismul de certificare acreditat (OC)

S-ar putea să vă placă și