Documente Academic
Documente Profesional
Documente Cultură
1
• Mijloacele de control aferente securității informațiilor enumerate în tabelul A.1 sunt direct
derivate și aliniate din/la cele enumerate în ISO/IEC 27002:2022, clauzele 5-8 și se
utilizează în contextul de la 6.1.3.
Identificator al mijlocului de Identificator al mijlocului de Nume mijloc de control
control ISO/IEC 27001:2022 control ISO/IEC 27001:2013
Mijloace de control organizaționale (I)
5.1 05.1.1, 05.1.2 Politici de securitate a informației
5.2 06.1.1 Roluri și responsabilității privind securitatea informației
5.3 06.1.2 Separarea sarcinilor
5.4 07.2.1 Responsabilitățile managementului
5.5 06.1.3 Contact cu autoritățile
5.6 06.1.4 Contact cu grupuri speciale de interese
5.7 Nou Informații privind amenințările
5.8 06.1.5, 14.1.1 Securitatea informației în managementul de proiect
5.9 08.1.1, 08.1.2 Inventarul informațiilor și al altor active asociate
5.10 08.1.3, 08.2.3 Utilizarea acceptabilă a informațiilor și a altor active asociate
5.11 08.1.4 Restituirea activelor
5.12 08.2.1 Clasificarea informației
5.13 08.2.2 Etichetarea informației
5.14 13.2.1, 13.2.2, 13.2.3 Transferul informațiilor
5.15 09.1.1, 09.1.2 Controlul accesului
5.16 09.2.1 Managementul identității
5.17 09.2.4, 09.3.1, 09.4.3 Informații de autentificare
5.18 09.2.2, 09.2.5, 09.2.6 Drepturi de acces
2
Identificator al mijlocului de Identificator al mijlocului de Nume mijloc de control
control ISO/IEC 27001:2022 control ISO/IEC 27001:2013
3
Identificator al mijlocului de Identificator al mijlocului de Nume mijloc de control
control ISO/IEC 27001:2022 control ISO/IEC 27001:2013
Mijloace de control aferente persoanelor
6.1 07.1.1 Verificare
6.2 07.1.2 Termeni și condiții de angajare
6.3 07.2.2 Conștientizarea, educație și instruire cu privire la securitatea informației
6.4 07.2.3 Proces disciplinar
6.5 07.3.1 Responsabilități după încetarea sau schimbarea contractului de muncă
6.6 13.2.4 Acorduri de confidențialitate și nedezvăluire
6.7 06.2.2 Lucrul de la distanță
6.8 16.1.2, 16.1.3 Raportarea evenimentelor de securitate a informației
4
Identificator al mijlocului de Identificator al mijlocului de Nume mijloc de control
control ISO/IEC 27001:2022 control ISO/IEC 27001:2013
Mijloace de control fizice
7.1 11.1.1 Perimetre de securitate fizică
7.2 11.1.2, 11.1.6 Intrarea (accesul) fizică
7.3 11.1.3 Securizarea birourilor, încăperilor și echipamentelor
7.4 Nou Supravegherea securității fizice
7.5 11.1.4 Protecția împotriva amenințărilor fizice și de mediu
7.6 11.1.5 Lucrul în zone securizate
7.7 11.2.9 Birou curat și ecran curat
7.8 11.2.1 Amplasarea și protecția echipamentelor
7.9 11.2.6 Securitatea activelor în afara sediului
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Suporturi de stocare
7.11 11.2.2 Utilități suport
7.12 11.2.3 Securitatea cablajului
7.13 11.2.4 Mentenanța echipamentelor
7.14 11.2.7 Eliminarea sau reutilizarea securizata a echipamentelor
5
Identificator al mijlocului de Identificator al mijlocului de Nume mijloc de control
control ISO/IEC 27001:2022 control ISO/IEC 27001:2013
Mijloace de control tehnologice
8.1 06.2.1, 11.2.8 Dispozitive terminale ale utilizatorului
8.2 09.2.3 Drepturi de acces privilegiat
8.3 09.4.1 Restricționarea accesului la informații
8.4 09.4.5 Acces la codul sursă
8.5 09.4.2 Autentificare securizată
8.6 12.1.3 Managementul capacității
8.7 12.2.1 Protecție împotriva malware
8.8 12.6.1, 18.2.3 Managementul vulnerabilităților tehnice
8.9 Nou Managementul configurației
8.10 Nou Ștergerea informațiilor
8.11 Nou Mascarea datelor
8.12 Nou Prevenirea scurgerii de date
8.13 12.3.1 Copie de siguranță a (backup) informației
8.14 17.2.1 Redundanța mijloacelor de prelucrare a informației
8.15 12.4.1, 12.4.2, 12.4.3 (Înregistrarea evenimentelor) Logging
8.16 Nou Activități de monitorizare (supraveghere)
6
Identificator al mijlocului de Identificator al mijlocului de Nume mijloc de control
control ISO/IEC 27001:2022 control ISO/IEC 27001:2013
7
5. Mijloace de control organizaționale
5.1 Politici de securitatea informației
Mijloc de control
• Politica de securitate a informației și politicile specifice trebuie să fie definite, aprobate
de management, publicate, comunicate și cunoscute de membrii personalului relevant
și de părțile interesate relevante și trebuie sa fie analizate la intervale planificate și
atunci când apar modificări semnificative.
Obiectiv
• Să asigure în mod continuu caracterul corespunzător, adecvat și eficacitatea
îndrumării și sprijinului managementului pentru securitatea informației în
conformitate cu cerințele de afaceri, legale, statutare, reglementate și contractuale.
8
5.2 Roluri și responsabilității privind securitatea informației
Mijloc de control
•Rolurile și responsabilitățile în materie de securitate a informațiilor trebuie definite și alocate,
funcție de nevoile organizației.
Obiectiv
•Să stabilească o structură definită, aprobată și înțeleasă pentru implementarea, operarea și
managementul securității informației în cadrul organizației.
Tip de mijloc de Proprietăți ale securității Concepte de securitate Capabilități operaționale Domenii de securitate
control informației cibernetică
#Preventiv #Confidențialitate #Protecție #Guvernanță #Guvernanță și
#Integritate #Identificare și management Ecosistem
#Disponibilitate acces
9
5.4 Responsabilitățile managementului
Mijloc de control
• Managementul trebuie sa solicite întregului personal să aplice securitatea informației în
conformitate cu politica de securitate a informației stabilită, cu politicile specifice și cu procedurile
organizației.
Obiectiv
• Să asigure că managementul înțelege rolul său în securitatea informației și întreprinde acțiuni
menite să se asigure că tot personalul este conștient și își îndeplinește responsabilitățile în materie
de securitate a informației.
Tip de mijloc de Proprietăți ale securității Concepte de securitate Capabilități Domenii de securitate
control informației cibernetică operaționale
#Preventiv #Confidențialitate #Identificare #Guvernanță #Guvernanță și Ecosistem
#Integritate
#Disponibilitate
Obiectiv
• Să asigure un flux adecvat de informații în ceea ce privește securitatea informației între
organizație și autoritățile legale, de reglementare și de supraveghere corespunzătoare.
Tip de mijloc de Proprietăți ale securității Concepte de Capabilități Domenii de securitate
control informației securitate cibernetică operaționale
#Preventiv #Confidențialitate #Identificare #Guvernanță #Apărare
#Corectiv #Integritate #Protejare #Reziliență
# Disponibilitate #Răspuns
#Recuperare
10
5.6 Contact cu grupuri speciale de interese
Mijloc de control
• Organizația trebuie să stabilească și să mențină contactul cu grupurile speciale de interese sau alte
forumuri și asociații profesionale specializate în securitate.
Obiectiv
• Să asigure un flux adecvat de informații în ceea ce privește securitatea informațiilor.
11
5.8 Securitatea informației în managementul de proiect
Mijloc de control
• Securitatea informației trebuie să fie integrata în managementul de proiect.
Obiectiv
• Să asigure că riscurile de securitate a informației legate de proiecte și livrabile să fie abordate eficace
în managementul de proiect pe tot parcursul ciclului de viață al proiectului.
Tip de mijloc de Proprietăți ale securității Concepte de securitate Capabilități Domenii de securitate
control informației cibernetică operaționale
#Preventiv #Confidențialitate #Identificare #Guvernanță #Guvernanță și Ecosistem
#Integritate #Protejare #Protecție
#Disponibilitate
12
5.10 Utilizarea acceptabilă a informațiilor și a altor resurse asociate
Mijloc de control
• Trebuie să fie identificate, documentate și implementate reguli pentru utilizarea acceptabilă precum
și procedurile pentru manipularea informațiilor și a altor active asociate.
Obiectiv
• Să asigure că informația și alte active asociate să fie protejate, utilizate și administrate în mod
corespunzător.
Tip de mijloc de Proprietăți ale securității Concepte de securitate Capabilități operaționale Domenii de securitate
control informației cibernetică
#Preventiv #Confidențialitate #Protejare #Management active #Guvernanță și Ecosistem
#Integritate #Protecție informație #Protecție
#Disponibilitate
5.11 Restituirea resurselor
Mijloc de control
• Personalul și alte părți interesate, după caz, trebuie să restituie toate activele organizației aflate
în posesia lor la modificarea sau încetarea contractului de muncă, a contractului sau acordului.
Obiectiv
• Să protejeze activele organizației ca parte a procesului de modificare sau de încetare a
contractului de muncă, contractului sau acordului.
Tip de mijloc de Proprietăți ale securității Concepte de Capabilități operaționale Domenii de securitate
control informației securitate cibernetică
#Preventiv #Confidențialitate #Protejare #Management active #Protecție
#Integritate
#Disponibilitate
13
5.12 Clasificarea informației
Mijloc de control
• Informațiile trebuie să fie clasificate în funcție de nevoile de securitate a informației ale organizației
pe baza confidențialității, integrității, disponibilității și cerințelor relevante ale părților interesate.
Obiectiv
• Să asigure identificarea și înțelegerea nevoilor de protecție a informației în conformitate cu
importanța acesteia pentru organizație.
Tip de mijloc de Proprietăți ale securității Concepte de securitate Capabilități Domenii de securitate
control informației cibernetică operaționale
#Preventiv #Confidențialitate #Identificare #Protecție informație #Protecție
#Integritate #Apărare
#Disponibilitate
Tip de mijloc de Proprietăți ale securității Concepte de securitate Capabilități operaționale Domenii de securitate
control informației cibernetică
#Preventiv #Confidențialitate #Protejare #Protecție informație #Apărare
#Integritate #Protecție
#Disponibilitate
14
5.14 Transferul informațiilor
Mijloc de control
• Reguli, proceduri sau acorduri pentru transferul informațiilor trebuie să fie in vigoare, pentru toate
tipurile de facilitați de transfer din cadrul organizației și între organizație și alte părți.
Obiectiv
• Să mențină securitatea informației transferate într-o organizație precum și spre orice parte interesată
externă.
Tip de mijloc de Proprietăți ale securității Concepte de securitate Capabilități operaționale Domenii de securitate
control informației cibernetică
#Preventiv #Confidențialitate #Protejare #Management active #Protecție
#Integritate #Protecție informație
#Disponibilitate
Tip de mijloc de Proprietăți ale securității Concepte de securitate Capabilități operaționale Domenii de securitate
control informației cibernetică
#Preventiv #Confidențialitate #Protejare #Management identitate și #Protecție
#Integritate acces
#Disponibilitate
16
5.18 Drepturi de acces
Mijloc de control
• Drepturile de acces la informații și la alte active asociate trebuie să fie furnizate, analizate, modificate
și eliminate în conformitate cu politica specifica și regulile pentru controlul accesului ale organizației.
Obiectiv
• Să asigure ca accesul la informații și alte active asociate să fie definit și autorizat în conformitate cu
cerințele de afaceri.
Tip de mijloc de Proprietăți ale securității Concepte de securitate Capabilități Domenii de securitate
control informației cibernetică operaționale
#Preventiv #Confidențialitate #Protejare #Management identitate #Protecție
#Integritate și acces
#Disponibilitate
17
5.20 Abordarea securității informației în cadrul acordurilor cu furnizorii
Mijloc de control
• Cerințe relevante de securitate a informației trebuie să fie stabilite și convenite cu fiecare furnizor pe
baza tipului de relație cu furnizorul respectiv.
Obiectiv
• Să mențină un nivel convenit al securității informației în relațiile cu furnizorii.
Tip de mijloc de Proprietăți ale securității Concepte de Capabilități operaționale Domenii de securitate
control informației securitate cibernetică
#Preventiv #Confidențialitate #Identificare #Securitate relații furnizor #Guvernanță și Ecosistem
#Integritate #Protecție
#Disponibilitate
Tip de mijloc de Proprietăți ale securității Concepte de securitate Capabilități operaționale Domenii de securitate
control informației cibernetică
#Preventiv #Confidențialitate #Identificare #Securitate relații furnizor #Guvernanță și Ecosistem
#Integritate #Protecție
#Disponibilitate
18
5.22 Monitorizarea, revizuirea și managementul schimbării serviciilor furnizorilor
Mijloc de control
• Organizația trebuie să monitorizeze, să analizeze, să evalueze și să gestioneze în mod regulat
schimbările în practicile de securitate a informației ale furnizorilor și prestarea de servicii.
Obiectiv
• Să mențină un nivel convenit de securitate a informației și de prestare a serviciilor în conformitate
cu acordurile cu furnizorii.
Tip de mijloc de Proprietăți ale securității Concepte de securitate Capabilități Domenii de securitate
control informației cibernetică operaționale
#Preventiv #Confidențialitate #Identificare #Securitate relații #Guvernanță și Ecosistem
#Integritate furnizor #Protecție #Apărare
#Disponibilitate #Asigurare securitate informație
20
5.26 Răspuns la incidentele de securitate a informației
Mijloc de control
• Incidentele de securitate a informației trebuie să primească răspuns în conformitate cu procedurile
documentate.
Obiectiv
• Să asigure un răspuns eficient și efectiv la incidentele de securitate a informației.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Corectiv #Confidențialitate #Răspuns #Management eveniment #Apărare
#Integritate #Detectare securitate informație
#Disponibilitate
21
5.28 Colectarea dovezilor
Mijloc de control
• Organizația trebuie să stabilească și să implementeze proceduri pentru identificarea, colectarea,
achiziția și păstrarea dovezilor legate de evenimentele de securitate a informației.
Obiectiv
• Să asigure un management consecvent și eficace al dovezilor legate de incidentele de securitate
a informației în scopul acțiunilor disciplinare și judiciare.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Corectiv #Confidențialitate #Detectare #Management eveniment #Apărare
#Integritate #Răspuns securitate informație
#Disponibilitate
22
5.30 Pregătirea TIC pentru continuitatea afacerii
Mijloc de control
• Pregătirea IT&C trebuie să fie planificată, implementată, menținută și testată pe baza obiectivelor
de continuitate a activității și a cerințelor de continuitate IT&C.
Scop
• Să asigure disponibilitatea informațiilor organizației și a altor active asociate în timpul întreruperilor
Tip de mijloc de control Proprietăți ale securității Concepte de securitate Capabilități operaționale Domenii de securitate
informației cibernetică
#Corectiv #Disponibilitate #Răspuns #Continuitate #Reziliență
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidențialitate #Identificare #Legal și conformare #Guvernanță și Ecosistem
#Integritate #Protecție
#Disponibilitate
23
5.32 Drepturi de proprietate intelectuală
Mijloc de control
• Organizația trebuie să implementeze proceduri adecvate pentru a proteja drepturile de proprietate
intelectuală.
Obiectiv
• Să asigure conformitatea cu cerințele legale, statutare, de reglementare și contractuale legate
de drepturile de proprietate intelectuală și utilizarea produselor brevetate.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidențialitate #Identificare #Legal și conformare #Guvernanță și
#Integritate #Ecosistem
#Disponibilitate
5.33 Protecția înregistrărilor
Mijloc de control
• Înregistrările trebuie să fie protejate împotriva pierderii, distrugerii, falsificării, accesului neautorizat
și difuzării neautorizate.
Obiectiv
• Să asigure conformitatea cu cerințele legale, statutare, de reglementare și contractuale, precum și cu
așteptările comunității sau ale societății comerciale legate de protecția și disponibilitatea
înregistrărilor.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidențialitate #Identificare #Legal și conformare #Apărare
#Integritate #Protecție #Management active
#Disponibilitate #Protecție informație
24
5.34 Viața privată și protecția PII
Mijloc de control
• Organizația trebuie să identifice și să respecte cerințele privind păstrarea confidențialității
și protecția PII în conformitate cu legile și reglementările aplicabile și cu cerințele contractuale.
Obiectiv
• Să asigure conformitatea cu cerințele legale, statutare, de reglementare și contractuale legate
de aspectele de securitate a informației ale protecției PII.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidențialitate #Identificare #Protejare #Asigurare securitate #Guvernanță și
#Corectiv #Integritate informație Ecosistem
#Disponibilitate
25
5.36 Conformitatea cu politicile, regulile și standardele pentru securitatea informației
Mijloc de control
• Trebuie să fie analizata / revizuita în mod regulat conformarea cu politica de securitate a
informației a organizației, politicile pe subiect specific, regulile și standardele.
Obiectiv
• Să asigure că securitatea informației este implementată și funcționează în conformitate cu
politica de securitate a informației a organizației, politicile specifice subiectului, regulile și
standardele
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidențialitate #Identificare #Protejare Legal și conformare #Guvernanță și
#Integritate #Asigurare securitate informație Ecosistem
#Disponibilitate
26
6. Mijloace de control aferente persoanelor
6.1 Verificare
Mijloc de control
• Activitățile de verificare a antecedentelor pentru toți candidații care vor deveni membri
ai personalului trebuie sa fie efectuate înainte de a se alătură organizației și în mod continuu
luând in considerare legile, reglementările și etica aplicabile să fie proporționale cu cerințele
de afaceri, clasificarea informațiilor la care urmează să aibă acces și cu riscurile percepute.
Obiectiv
• Să asigure faptul că toți membrii personalului sunt eligibili și corespunzători pentru
rolurile avute în vedere și rămân eligibili și corespunzători pe durata angajării lor.
27
6.2 Termeni și condiții de angajare
Mijloc de control
• Acordurile contractuale de muncă trebuie să precizeze responsabilitățile personalului și ale
organizației privind securitatea informației.
Obiectiv
• Să asigure faptul că membri personalul își înțeleg responsabilitățile privind securitatea informației
pentru rolurile pentru care au fost angajați.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidențialitate #Protejare #Securitate resurse #Guvernanță și Ecosistem
#Integritate umane
#Disponibilitate
28
6.4 Proces disciplinar
Mijloc de control
• Trebuie să fie implementat și comunicat un proces disciplinar oficial pentru a lua măsuri împotriva
personalului și a altor părți interesate relevante care au comis o încălcare a politicii de securitate a
informațiilor.
Obiectiv
• Să asigure faptul că membrii personalului și ai altor părți interesate corespunzătoare înțeleg
consecințele încălcării politicii de securitate a informației, având scopul a descuraja și a trata în mod
adecvat membrii personalului și ai altor părți interesate corespunzătoare care au comis încălcarea.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidențialitate #Protejare #Securitate resurse umane #Guvernanță și Ecosistem
#Corectiv #Integritate #Răspuns
#Disponibilitate
Mijloc de control
• Organizația trebuie să furnizeze un mecanism pentru ca personalul să raporteze în timp util
evenimentele observate sau suspectate legate de securitatea informației prin canale adecvate.
Obiectiv
31
7. Mijloace de control fizice
Mijloc de control
• Perimetrele de securitate trebuie definite și utilizate pentru a proteja zonele care
conțin informații și alte active asociate.
Obiectiv
• Să prevină accesul fizic neautorizat, deteriorarea și intervenția asupra informațiilor
organizației și a altor active asociate.
Tip de mijloc de Proprietăți ale securității Concepte de securitate Capabilități operaționale Domenii de securitate
control informației cibernetică
#Preventiv #Confidențialitate #Protejare #Securitate fizică #Protecție
#Integritate
#Disponibilitate
32
7.2 Intrarea fizică
Mijloc de control
• Zonele securizate trebuie să fie protejate prin mijloace de control la intrare și puncte de acces adecvate.
Obiectiv
• Să asigure numai accesul fizic autorizat la informațiile organizației și la alte active asociate.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidențialitate #Protejare #Securitate_fizică #Protecție
#Integritate #Management identitate și
#Disponibilitate acces
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidențialitate #Protejare #Securitate fizică #Protecție
#Integritate #Management active
#Disponibilitate
33
7.4 Supravegherea securității fizice
Mijloc de control
• Spatiile trebuie să fie supravegheate continuu având în vedere accesul fizic neautorizat.
Scop
• Să detecteze și să descurajeze accesul fizic neautorizat.
34
7.6 Lucrul în zone securizate
Mijloc de control
• Trebuie să fie proiectate și implementate măsuri de securitate pentru lucrul în zone securizate.
Obiectiv
• Să protejeze informațiile și alte active asociate din zonele securizate, de daune și intervenții
neautorizate din partea personalului care lucrează în aceste zone.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidențialitate #Protejare #Securitate fizică #Protecție
#Integritate
#Disponibilitate
35
7.8 Amplasarea și protecția echipamentelor
Mijloc de control
• Echipamentele trebuie să fie amplasate astfel încât datele să fie în siguranță și protejate.
Obiectiv
• Să reducă riscurile cauzate de amenințările fizice și de mediu, precum și de accesul neautorizat și
deteriorare.
Tip de mijloc de Proprietăți ale Concepte de Capabilități operaționale Domenii de securitate
control securității informației securitate
cibernetică
#Preventiv #Confidențialitate #Protejare #Securitate fizică #Protecție
#Integritate #Management active
#Disponibilitate
37
7.12 Securitatea cablării
Mijloc de control
• Cablurile de alimentare cu energie electrică, de date sau care susțin servicii de support pentru
informații trebuie protejate împotriva interceptării, interferențelor sau deteriorării.
Obiectiv
38
7.14 Eliminarea sau reutilizarea securizată a echipamentelor
Mijloc de control
• Elementele echipamentelor care conțin suporturi de stocare trebuie să fie verificate pentru a se
asigura că toate datele sensibile și software-ul licențiat au fost îndepărtate sau suprascrise în mod
securizat înainte de eliminare sau reutilizare.
Obiectiv
• Să prevină scurgerea de informații din echipamentele care urmează să fie eliminate sau reutilizate.
•
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidențialitate #Protejare #Securitate fizică #Protecție
#Management active
39
8. Mijloace de control tehnologice
8.1 Dispozitive terminale ale utilizatorului
Mijloc de control
• Informațiile stocate pe dispozitivele terminale ale utilizatorului, procesate sau accesibile
prin intermediul acestora trebuie sa fie protejate.
Obiectiv
• Să protejeze informațiile împotriva riscurilor introduse prin utilizarea dispozitivelor
terminale ale utilizatorului.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidențialitate #Protejare #Securitate fizică #Protecție
#Integritate
#Disponibilitate
40
8.2 Drepturi de acces privilegiat
Mijloc de control
• Alocarea și utilizarea drepturilor de acces privilegiat trebuie să fie restricționate și gestionate.
Obiectiv
• Să asigure că numai utilizatorii, componentele software și serviciile autorizate beneficiază de
drepturi de acces privilegiat.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidențialitate #Protejare #Management Identitate și #Protecție
#Integritate acces
#Disponibilitate
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidențialitate #Protejare #Management Identitate și #Protecție
#Integritate acces
#Disponibilitate
41
8.4 Acces la codul sursă
Mijloc de control
• Accesul la citirea și scrierea codului sursă, instrumentele de dezvoltare și bibliotecile de
software trebuie să fie gestionat corespunzător.
Obiectiv
• Să prevină introducerea de funcționalități neautorizate, să evite modificările neintenționate sau
rău intenționate și să mențină confidențialitatea proprietății intelectuale de valoare.
Tip de mijloc de Proprietăți ale Concepte de Capabilități operaționale Domenii de securitate
control securității informației securitate
cibernetică
#Preventiv #Confidențialitate #Protejare #Management Identitate și acces #Protecție
#Integritate Securitate aplicație
#Disponibilitate Configurație sigură
8.5 Autentificare securizată
Mijloc de control
• Tehnologiile și procedurile de autentificare securizată trebuie să fie implementate pe baza
restricțiilor de acces la informații și a politicii specifice privind controlul accesului.
Obiectiv
• Să asigure ca un utilizator sau o entitate este autentificat(a) în mod securizat, atunci când este acordat
accesul la sisteme, aplicații și servicii
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidențialitate #Protejare #Management Identitate și #Protecție
#Integritate acces
#Disponibilitate
42
8.6 Managementul capacității
Mijloc de control
• Utilizarea resurselor trebuie să fie monitorizată și ajustată în funcție de cerințele actuale și preconizate
de capacitate.
Obiectiv
• Să asigure capacitatea necesară de mijloace de prelucrare a informațiilor, resurse umane, birouri și alte
facilități.
Tip de mijloc de Proprietăți ale Concepte de Capabilități operaționale Domenii de securitate
control securității informației securitate
cibernetică
#Preventiv #Integritate #Identificare #Continuitate #Guvernanță și
#Detectiv #Disponibilitate #Protejare Ecosistem
#Detectare #Protecție
43
8.8 Managementul vulnerabilităților tehnice
Mijloc de control
• Informațiile referitoare la vulnerabilitățile tehnice ale sistemelor informaționale utilizate, trebuie
să fie obținute, expunerea organizației la astfel de vulnerabilități trebuie sa fie evaluata și să fie luate
măsurile adecvate.
Obiectiv
• Să prevină exploatarea vulnerabilităților tehnice
Tip de mijloc de Proprietăți ale Concepte de Capabilități operaționale Domenii de securitate
control securității informației securitate
cibernetică
#Preventiv #Confidențialitate #Identificare #Management amenințare și #Guvernanță și Ecosistem
#Integritate #Protejare vulnerabilitate #Protecție
#Disponibilitate
#Apărare
8.9 Managementul configurației
Mijloc de control
• Configurațiile, inclusiv configurațiile de securitate, ale hardware-ului, software-ului, serviciilor
și rețelelor trebuie să fie stabilite, documentate, implementate, monitorizate și analizate.
Scop
• Să asigure că hardware-ul, software-ul, serviciile și rețelele să funcționeze corect cu setările de
securitate necesare și ca configurația să nu fie modificată de modificări neautorizate sau incorecte.
Tip de mijloc de control Proprietăți ale securității Concepte de securitate Capabilități operaționale Domenii de securitate
informației cibernetică
#Preventiv #Confidențialitate #Protejare #Configurare securizare #Protecție
#Integritate
#Disponibilitate
44
8.10 Ștergerea informațiilor
Mijloc de control
• Informațiile stocate în sistemele informatice, pe dispozitive sau pe orice alt suport de stocare trebuie
să fie șterse atunci când nu mai sunt necesare.
Scop
• Să prevină expunerea inutilă a informațiilor sensibile și să respecte cerințele legale, statutare, de
reglementare și contractuale pentru ștergerea informațiilor.
Tip de mijloc de control Proprietăți ale securității Concepte de securitate Capabilități operaționale Domenii de securitate
informației cibernetică
#Preventiv #Confidențialitate #Protejare #Protecție informație #Protecție
#Cerinte legale și
conformare
Tip de mijloc de control Proprietăți ale securității Concepte de securitate Capabilități operaționale Domenii de securitate
informației cibernetică
#Preventiv #Confidențialitate #Protejare #Protecție informație #Protecție
45
8.12 Prevenirea scurgerii de date
Mijloc de control
• Măsurile de prevenire a scurgerii datelor trebuie să se aplice sistemelor, rețelelor și oricăror alte
dispozitive care prelucrează, stochează sau transmit informații sensibile.
Scop
• Să detecteze și să prevină dezvăluirea și extragerea neautorizată a informațiilor de persoane sau sisteme.
Tip de mijloc de control Proprietăți ale Concepte de securitate Capabilități Domenii de securitate
securității informației cibernetică operaționale
#Preventiv #Confidențialitate #Protejare #Protecție informație #Protecție
#Detectare #Apărare
46
8.14 Redundanța mijloacelor de prelucrare a informației
Mijloc de control
• Mijloacele de procesare a informației trebuie să fie implementate cu o redundanță suficientă pentru
a îndeplini cerințele de disponibilitate.
Obiectiv
• Să asigure funcționarea continuă a mijloacelor de prelucrare a informațiilor.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Disponibilitate #Protejare #Continuitate #Protecție
#Management active #Reziliență
8.15 Jurnalizare
Mijloc de control
• Jurnalele de evenimente care înregistrează activități, excepții, defecțiunile și alte evenimente
relevante trebuie sa fie realizate, păstrate, protejate și analizate
Obiectiv
• Să înregistreze evenimente, să genereze dovezi, să asigure integritatea informațiilor din jurnalele de
evenimente, să prevină accesul neautorizat, să identifice evenimentele de securitate a informațiilor
care pot conduce la un incident legat de securitatea informației și să sprijine investigațiile.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Detectiv #Confidentialitate #Detectare #Management eveniment #Protecție
#Integritate securitate informație #Apărare
#Disponibilitate
47
8.16 Activități de monitorizare
Mijloc de control
• Rețelele, sistemele și aplicațiile trebuie monitorizate pentru comportamentul anormal și trebuie
luate masuri adecvate pentru a evalua potențialele incidente privind securitatea informației.
Obiectiv
• Să detecteze comportamentul anormal și potențialele incidente privind securitatea informației.
Tip de mijloc de control Proprietăți ale securității Concepte de securitate Capabilități operaționale Domenii de securitate
informației cibernetică
#Detectiv #Confidentialitate #Detectare #Management eveniment #Apărare
#Corectiv #Integritate #Răspuns securitate informație
#Disponibilitate
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Detectiv #Integritate #Protejare #Management eveniment #Protecție
#Detectare securitate informație #Apărare
48
8.18 Utilizarea programelor utilitare privilegiate
Mijloc de control
• Utilizarea programelor utilitare care pot fi capabile să depășească controalele sistemului și al
aplicațiilor trebuie să fie restricționată și strict controlată.
Obiectiv
• Să asigure că utilizarea programelor utilitare nu dăunează mijloacelor de control ale sistemului și
aplicațiilor pentru securitatea informației.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidentialitate #Protejare #Securitate sistem și rețea #Protecție
#Integritate #Configurare securizată
#Disponibilitate #Securitate aplicație
49
8.20 Securitatea rețelelor
Mijloc de control
• Rețelele și dispozitivele de rețea trebuie securizate, gestionate și controlate pentru a proteja
informațiile din sisteme și aplicații.
Obiectiv
• Să protejeze informația din rețele și mijloacele sale de suport de prelucrare a informației pentru a nu
fi compromisă prin intermediul rețelei.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidentialitate #Protejare #Securitate sistem și rețea #Protecție
#Detectiv #Integritate #Detectare
#Disponibilitate
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidentialitate #Protejare #Securitate sistem și rețea #Protecție
#Integritate
#Disponibilitate
50
8.22 Separarea rețelelor
Mijloc de control
• Grupurile de servicii informaționale, utilizatorii și sistemele informaționale din cadrul organizației
trebuie sa fie separate în rețele diferite in cadrul organizatiei
Obiectiv
• Să împartă rețeaua în limite de securitate și pentru a controla traficul dintre acestea în funcție de nevoile
afacerii.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidentialitate #Protejare #Securitate sistem și rețea #Protecție
#Integritate
#Disponibilitate
Tip de mijloc de control Proprietăți ale securității Concepte de securitate Capabilități Domenii de securitate
informației cibernetică operaționale
#Preventiv #Confidentialitate #Protejare #Securitate sistem și #Protecție
#Integritate rețea
#Disponibilitate
51
8.24 Utilizarea criptării
Mijloc de control
• Trebuie să fie definite și implementate reguli pentru utilizarea eficace a criptării, inclusiv
administrarea cheilor criptografice.
Obiectiv
• Să asigure utilizarea corectă și eficace a criptării pentru a proteja confidențialitatea, autenticitatea
sau integritatea informației în conformitate cu cerințele de afaceri și de securitate a informațiilor și
luând în considerare cerințele legale, statutare, de reglementare și contractuale legate de criptare.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidentialitate #Protejare #Securitate configurare #Protecție
#Integritate
#Disponibilitate
52
8.26 Cerințe de securitate a aplicației
Mijloc de control
• Cerințele de securitate a informației trebuie identificate, specificate și aprobate atunci când se
dezvolta sau se achiziționează aplicații.
Obiectiv
• Să asigure că toate cerințele de securitate a informației sunt identificate și abordate atunci când se
dezvolta sau se achiziționează aplicații.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidentialitate #Protejare #Securitate aplicație #Protecție
#Integritate #Securitate sistem și rețea #Apărare
#Disponibilitate
53
8.28 Codare securizată
Mijloc de control
• Principiile de codare securizată trebuie aplicate la dezvoltarea software.
Scop
• Să asigure că software-ul este scris securizat, reducând astfel numărul potențialelor
vulnerabilități de securitate a informațiilor din software.
Tip de mijloc de control Proprietăți ale securității Concepte de Capabilități operaționale Domenii de securitate
informației securitate cibernetică
#Preventiv #Confidentialitate #Protejare #Securitate aplicație #Protecție
#Integritate #Securitate sistem și rețea
#Disponibilitate
54
8.30 Dezvoltare externalizată
Mijloc de control
• Organizația trebuie să orienteze, monitorizeze și să analizeze/revizuiască direct activitățile legate
de dezvoltarea externalizată a sistemului
Obiectiv
• Să asigure că măsurile de securitate a informației cerute de organizație sunt implementate în
dezvoltarea externalizată a sistemului
Tip de mijloc de Proprietăți ale securității Concepte de Capabilități operaționale Domenii de securitate
control informației securitate cibernetică
#Preventiv #Confidentialitate #Identificare #Securitate sistem și rețea #Guvernare și Ecosistem
#Detectiv #Integritate #Protejare #Detectare #Securitate aplicație #Protecție
#Disponibilitate #Securitate relații
furnizor
55
8.32 Managementul schimbărilor
Mijloc de control
•Schimbările aduse mijloacelor de prelucrare a informațiilor și sistemelor de informații trebuie să facă
obiectul procedurilor de management al schimbării
Obiectiv
•Să păstreze securitatea informației la efectuarea schimbărilor.
Tip de mijloc de Proprietăți ale Concepte de securitate Capabilități operaționale Domenii de securitate
control securității informației cibernetică
#Preventiv #Confidentialitate #Protejare #Securitate aplicație #Protecție
#Integritate #Securitate sistem și rețea
#Disponibilitate
56
8.34 Protejarea sistemelor informaționale în timpul testării de audit
Mijloc de control
• Testele de audit și alte activități de asigurare care implică evaluarea sistemelor operaționale trebuie
să fie planificate și convenite între responsabilul de testare și managementul corespunzător.
Obiectiv
• Să minimizeze impactul auditului și al altor activități de asigurare asupra sistemelor operaționale
și proceselor de afaceri.
57
Tranziția la ediția din 2022
Calendarul tranziției a fost stabilit în documentul IAF MD 26:2022
Activitate Termen
Organismul de acreditare (OA)
OA va fi gata să evalueze ISO/IECIEC 27001: 2022 nu 6 luni de la ultima zi a lunii de publicare a ISO/IEC
mai târziu de 27001:2022 (adică 30 aprilie 2023)
Evaluarea inițială de către OC conform ISO/IEC 6 luni de la ultima zi a lunii de publicare a ISO/IEC
27001:2022 va începe cel târziu 27001:2022 (adică 30 aprilie 2023)
Tranzițiile acreditarilor OC în vigoare vor fi finalizate de 12 luni de la ultima zi a lunii de publicare a ISO/IEC
OA în 27001:2022 (adică 31 octombrie 2023)
58